序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇網(wǎng)絡(luò)安全方案范文��。如果您需要更多原創(chuàng)資料���,歡迎隨時(shí)與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識(shí)!
篇1
1�、前言
網(wǎng)絡(luò)安全安全方案涉及的內(nèi)容比較多、比較廣�、比較專業(yè)和實(shí)際。網(wǎng)絡(luò)安全方案就像一張施工的圖紙,圖紙的好壞直接影響工程的質(zhì)量高低�。下面討論一下網(wǎng)絡(luò)安全設(shè)計(jì)的注意點(diǎn)和質(zhì)量。
2�、 網(wǎng)絡(luò)安全方案設(shè)計(jì)的注意點(diǎn)
對(duì)于網(wǎng)絡(luò)安全人員來說,網(wǎng)絡(luò)有一個(gè)整體性、動(dòng)態(tài)的安全����。也就是在整個(gè)項(xiàng)目有一種總體的把握能力,不能只關(guān)注自己熟悉的某個(gè)領(lǐng)域,而要對(duì)其他的領(lǐng)域不關(guān)心,不理解,那么就寫不出一份好的安全方案。寫出來的方案要針對(duì)用戶所遇到的問題,運(yùn)用技術(shù)和產(chǎn)品來解決問題�。設(shè)計(jì)人員就只有對(duì)安全技術(shù)了解得很深,對(duì)產(chǎn)品了解得很深,設(shè)計(jì)出的方案才能接近用戶的要求。
好的安全方案應(yīng)該考慮技術(shù)���、策略和管理,技術(shù)是關(guān)鍵,策略是核心,管理是保證�。在方案中始終要休現(xiàn)出這三個(gè)方面的關(guān)系�����。在網(wǎng)絡(luò)安全設(shè)計(jì)時(shí),一定要了解用戶實(shí)際網(wǎng)絡(luò)系統(tǒng)環(huán)境,對(duì)可能遇到的安全風(fēng)險(xiǎn)和威脅進(jìn)行量化和評(píng)估,這樣寫出的解決方案才客觀。設(shè)計(jì)網(wǎng)絡(luò)安全方案時(shí),動(dòng)態(tài)安全很重要,隨著環(huán)境的變化和時(shí)間的推移,系統(tǒng)的安全性也會(huì)發(fā)生變化,所有在設(shè)計(jì)時(shí)不僅要考慮現(xiàn)在的情況,還要考慮將來的情況,用一種動(dòng)態(tài)的方式來考慮,做到項(xiàng)目實(shí)施既考慮到現(xiàn)在的情況,也能很好的適應(yīng)以后網(wǎng)絡(luò)系統(tǒng)的升級(jí),留一個(gè)較好的升級(jí)接口�����。
網(wǎng)絡(luò)沒有絕對(duì)安全,只有相對(duì)安全,在網(wǎng)絡(luò)安全方案設(shè)計(jì)時(shí),必須清楚這點(diǎn),客觀的來寫方案,不夸大也不縮小,寫得實(shí)實(shí)在在,讓人信服接受����。由于時(shí)間和空間不斷發(fā)生作用,安全是沒有不變的,不管在設(shè)計(jì)還是在實(shí)施的時(shí)候,無論是想得多完善,做得多嚴(yán)密,都不能達(dá)到絕對(duì)的安全。所以安全方案中應(yīng)該告訴用戶只能做到避免風(fēng)險(xiǎn),清除風(fēng)險(xiǎn)的根源,降低風(fēng)險(xiǎn)所帶來的損失,而不能做到消除風(fēng)險(xiǎn)����。
3、 評(píng)價(jià)網(wǎng)絡(luò)安全方案的質(zhì)量
我們?cè)鯓硬拍軐懗龈哔|(zhì)量����、高水平的的網(wǎng)絡(luò)安全方案呢?我們只有抓住重點(diǎn),理解安全理念和安全過程,那么就基本可以做到了��。一份好的安全方案我們需要從下面幾個(gè)方面來把握�����。
對(duì)安全技術(shù)和安全風(fēng)險(xiǎn)有一個(gè)綜合的把握和理解,包括現(xiàn)在的和將來可能出現(xiàn)的情況��。
體現(xiàn)唯一性,由于安全的復(fù)雜性和特殊性,唯一性是評(píng)估安全方案最重要的一個(gè)標(biāo)準(zhǔn)�����。實(shí)際中,每一個(gè)特定網(wǎng)絡(luò)都是唯一的,需要根據(jù)實(shí)際情況處理。
對(duì)用戶的網(wǎng)絡(luò)系統(tǒng)可能遇到的安全風(fēng)險(xiǎn)和安全威脅,結(jié)合現(xiàn)有的安全技術(shù)和安全風(fēng)險(xiǎn),要有一合適����、中肯的評(píng)估。
對(duì)癥下藥,用相應(yīng)的安全產(chǎn)品��、安全技術(shù)和管理手段,降低用戶的網(wǎng)絡(luò)系統(tǒng)當(dāng)前可能遇到的風(fēng)險(xiǎn)和威脅,消除風(fēng)險(xiǎn)和威脅的根源,增強(qiáng)整個(gè)網(wǎng)絡(luò)系統(tǒng)抵抗風(fēng)險(xiǎn)和威脅的能力,增強(qiáng)系統(tǒng)本身的免疫力��。
在設(shè)計(jì)方案時(shí),要明白網(wǎng)絡(luò)系統(tǒng)安全是一個(gè)動(dòng)態(tài)的���、整體的���、專業(yè)的工程,不能一步到位解決用戶所有的問題。
方案出來后,要不斷與用戶進(jìn)行溝通,能夠及時(shí)得到他們對(duì)網(wǎng)絡(luò)系統(tǒng)在安全方面的要求����、期望和所遇到的問題。
方案中要體現(xiàn)出對(duì)用戶的服務(wù)支持,這是很重要的一部分���。產(chǎn)品和技術(shù),都將會(huì)體現(xiàn)在服務(wù)中,服務(wù)用來保證質(zhì)量��、提高質(zhì)量��。
方案中所涉及到和產(chǎn)品和技術(shù),都要經(jīng)得起驗(yàn)證����、推敲、實(shí)施,要有理論根據(jù),要有實(shí)際基礎(chǔ)����。
4、安全風(fēng)險(xiǎn)分析
主要實(shí)際安全風(fēng)險(xiǎn)一般從網(wǎng)絡(luò)的風(fēng)險(xiǎn)和威脅分析���、系統(tǒng)風(fēng)險(xiǎn)和威脅分析�����、應(yīng)用的風(fēng)險(xiǎn)和威脅分析��、對(duì)網(wǎng)絡(luò)����、系統(tǒng)和應(yīng)用的風(fēng)險(xiǎn)及威脅的具體實(shí)際的詳細(xì)的分析����。
網(wǎng)絡(luò)的風(fēng)險(xiǎn)和威脅分析:詳細(xì)分析用戶當(dāng)前的的網(wǎng)絡(luò)結(jié)構(gòu),找出帶來安全問題的關(guān)鍵,并形成圖形化,指出風(fēng)險(xiǎn)和威脅所帶來的危害,對(duì)那些如果不消除風(fēng)險(xiǎn)和威脅,會(huì)起引什么樣的后果,要有一個(gè)中肯�����、詳細(xì)的分析和解決辦法。系統(tǒng)的風(fēng)險(xiǎn)和威脅分析:對(duì)用戶所有的系統(tǒng)都要進(jìn)行一次詳細(xì)地評(píng)估,分析存在哪些風(fēng)險(xiǎn)和威脅,并根據(jù)與業(yè)務(wù)的關(guān)系,指出其中的厲害關(guān)系����。要運(yùn)用當(dāng)前流行系統(tǒng)所面臨的安全風(fēng)險(xiǎn)和威脅,結(jié)合用戶的實(shí)際系統(tǒng),給出一個(gè)中肯、客觀和實(shí)際的分析�����。應(yīng)用的分析和威脅分析:應(yīng)用的安全是企業(yè)的關(guān)鍵,也是安全方案中最終說服要保護(hù)的對(duì)象��。同時(shí)由于應(yīng)用的復(fù)雜性和關(guān)聯(lián)性,分析時(shí)要比較綜合�。對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險(xiǎn)及威脅的具體實(shí)際的詳細(xì)分析:幫助用戶找出其網(wǎng)絡(luò)系統(tǒng)中要保護(hù)的對(duì)象,幫助用戶分析網(wǎng)絡(luò)系統(tǒng),幫助他們發(fā)現(xiàn)其網(wǎng)絡(luò)系統(tǒng)中存在的問題,以及采用哪些產(chǎn)品和技術(shù)來解決���。
5���、安全產(chǎn)品
常用的安全產(chǎn)品有:防火墻、防病毒��、身份認(rèn)證���、傳輸加密和入侵檢測(cè)����。結(jié)合用戶的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的實(shí)際情況,對(duì)安全產(chǎn)品和安全技術(shù)作比較和分析,分析要客觀��、結(jié)果要中肯,幫助用戶選擇最能解決他們所遇到問題的產(chǎn)品,不要求新�����、求好和求大�����。
防火墻:對(duì)包過濾技術(shù)���、技術(shù)和狀態(tài)檢測(cè)技術(shù)的防火墻,都做一個(gè)概括和比較,結(jié)合用戶網(wǎng)絡(luò)系統(tǒng)的特點(diǎn),幫助用戶選擇一種安全產(chǎn)品,對(duì)于選擇的產(chǎn)品,一定要從中立的角度來說明���。
防病毒:針對(duì)用戶的系統(tǒng)和應(yīng)用的特點(diǎn),對(duì)桌面防病毒、服務(wù)器防病毒和網(wǎng)關(guān)防病毒做一個(gè)概括和比較,詳細(xì)指出用戶必須如何做,否則就會(huì)帶來什么樣的安全威脅,一定要中肯���、合適,不要夸大和縮小����。
身份認(rèn)證:從用戶的系統(tǒng)和用戶的認(rèn)證的情況進(jìn)行詳細(xì)的分析,指出網(wǎng)絡(luò)和應(yīng)用本身的認(rèn)證方法會(huì)出現(xiàn)哪些風(fēng)險(xiǎn),結(jié)合相關(guān)的產(chǎn)品和技術(shù),通過部署這些產(chǎn)品和采用相關(guān)的安全技術(shù),能夠幫助用戶解決哪些用系統(tǒng)和應(yīng)用的傳統(tǒng)認(rèn)證方式所帶來的風(fēng)險(xiǎn)和威脅����。
傳輸加密:要用加密技術(shù)來分析,指出明文傳輸?shù)木薮笪:?通過結(jié)合相關(guān)的加密產(chǎn)品和技術(shù),能夠指出用戶的現(xiàn)有情況存在哪些危害和風(fēng)險(xiǎn)。
入侵檢測(cè):對(duì)入侵檢測(cè)技術(shù)要有一個(gè)詳細(xì)的解釋,指出在用戶的網(wǎng)絡(luò)和系統(tǒng)部署了相關(guān)的產(chǎn)品之后,對(duì)現(xiàn)有的安全情況會(huì)產(chǎn)生一個(gè)怎樣的影響要有一個(gè)詳細(xì)的分析��。結(jié)合相關(guān)的產(chǎn)品和技術(shù),指出對(duì)用戶的系統(tǒng)和網(wǎng)絡(luò)會(huì)帶來哪些好處,指出為什么必須要這樣做,不這樣做會(huì)怎么樣,會(huì)帶來什么樣的后果����。
結(jié)束語
一份好的網(wǎng)絡(luò)安全方案要求的是技術(shù)面要廣、要綜合,不僅只是技術(shù)好�����??傊?經(jīng)過不斷的學(xué)習(xí)和經(jīng)驗(yàn)積
篇2
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A
我國(guó)關(guān)于網(wǎng)絡(luò)方面的基礎(chǔ)設(shè)施建設(shè)已經(jīng)初步成型,而網(wǎng)上進(jìn)行的各種業(yè)務(wù)也越來越多�,保證網(wǎng)絡(luò)環(huán)境的安全,正常應(yīng)用網(wǎng)絡(luò)已成為各企業(yè)正常開展業(yè)務(wù)基礎(chǔ)工作���。各企業(yè)只有建立起安全的網(wǎng)絡(luò)安全方案就要了解計(jì)算機(jī)用戶安全環(huán)境����、現(xiàn)狀與威脅����,才能按照用戶需求�,進(jìn)行網(wǎng)絡(luò)安全方案的設(shè)計(jì)����。網(wǎng)絡(luò)安全問題十分復(fù)雜,包括加密���、防火墻及防病毒等網(wǎng)絡(luò)安全方案�。
1網(wǎng)絡(luò)用戶的安全需求
1.1網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)環(huán)境包括計(jì)算機(jī)系統(tǒng)內(nèi)部與行業(yè)間互聯(lián)網(wǎng)�����。
1.2網(wǎng)絡(luò)安全現(xiàn)狀
(1)計(jì)算機(jī)系統(tǒng)在企業(yè)內(nèi)部通信�、行業(yè)間通信,都缺少安全防護(hù)的措施�,僅有部分單位對(duì)路由器設(shè)計(jì)了 過濾防火墻。
(2)計(jì)算機(jī)操作系統(tǒng)一般為UNIX和Windows NT���,而桌面的操作系統(tǒng)都是Windows XP或者Win7�,都沒有設(shè)置安全保護(hù)的措施��。
(3)計(jì)算機(jī)系統(tǒng)訪問的控制能力不強(qiáng)����,只能對(duì)現(xiàn)有操作�����、數(shù)據(jù)庫(kù)、電子郵件及應(yīng)用方面的系統(tǒng)進(jìn)行簡(jiǎn)單的利用����。
(4)計(jì)算機(jī)的應(yīng)用環(huán)境沒有防病毒的能力,尤其在病毒數(shù)據(jù)庫(kù)更新上滯后���。
(5)對(duì)病毒的內(nèi)部或者外部的攻擊�,沒有基本監(jiān)控和保護(hù)的手段�。
1.3網(wǎng)絡(luò)安全的威脅
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)進(jìn)行分析,可以發(fā)現(xiàn)�,計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅主要有以下幾個(gè)方面:
(1)UNIX和WindowsNT等類別的操作系統(tǒng)有網(wǎng)絡(luò)安全上的漏洞。
(2)企業(yè)內(nèi)部網(wǎng)的用戶帶來的安全威脅���。
(3)企業(yè)外部的用戶帶來的安全威脅�。
(4)應(yīng)用了TCP/IP協(xié)議軟件�,不具備安全性。
(5)缺少對(duì)應(yīng)用服務(wù)的訪問控制���,就要解決網(wǎng)絡(luò)中的安全隱患�����,才能保障網(wǎng)絡(luò)和信息安全�����。
2網(wǎng)絡(luò)方案的設(shè)計(jì)思想和原則
2.1網(wǎng)絡(luò)方案的設(shè)計(jì)思想
網(wǎng)絡(luò)安全是十分復(fù)雜的問題�����,一定要考慮到安全的層次和技術(shù)的難度�����,充分考慮費(fèi)用的支出��,所以�����,進(jìn)行方案的設(shè)計(jì)時(shí)一定要遵循一定的設(shè)計(jì)思想����,主要有幾下幾點(diǎn):
(1)提高計(jì)算機(jī)系統(tǒng)安全性與保密性�����。
(2)保證網(wǎng)絡(luò)性能特點(diǎn)����,也就是保證網(wǎng)絡(luò)協(xié)議與傳輸?shù)耐该餍浴?/p>
(3)網(wǎng)絡(luò)安全設(shè)計(jì)要易操作���,易維護(hù),要易于開展自動(dòng)化的管理���,不能過多過少增加一些附加的操作�。
(4)在不影響網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)時(shí)�,擴(kuò)展計(jì)算機(jī)系統(tǒng)的結(jié)構(gòu)和功能。
(5)設(shè)計(jì)要做到一次投資�,長(zhǎng)期使用。
2.2網(wǎng)絡(luò)方案的設(shè)計(jì)原則
(1)遵循需求����、風(fēng)險(xiǎn)和代價(jià)平衡原則,對(duì)網(wǎng)絡(luò)進(jìn)行研究�,對(duì)風(fēng)險(xiǎn)進(jìn)行承擔(dān),經(jīng)過分析和研究�,制定規(guī)范與措施����。
(2)遵循綜合與整體的原則��,將網(wǎng)絡(luò)安全模塊與設(shè)備引進(jìn)系統(tǒng)的運(yùn)行與管理中����,提高系統(tǒng)安全性和各部分間邏輯的關(guān)聯(lián)性,保證協(xié)調(diào)一致運(yùn)行�����。
(3)遵循可用性和無縫接入的原則��。所有安全措施都要靠人來完成����,如果設(shè)計(jì)太復(fù)雜,就會(huì)對(duì)人有過高要求��。安全設(shè)備在安裝和運(yùn)行中���,不能改變網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)�,要保持對(duì)網(wǎng)絡(luò)內(nèi)用戶的透明性��。
(4)遵循設(shè)備先進(jìn)和成熟,可管理和擴(kuò)展���。在安全設(shè)備選擇上����,要先考慮到先進(jìn)性��,研究成熟性��,選擇技術(shù)與性能優(yōu)越的設(shè)備��,可靠和適用的設(shè)備����。保持網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理和控制��,實(shí)現(xiàn)網(wǎng)上對(duì)設(shè)備運(yùn)行的監(jiān)控��。
3計(jì)算機(jī)網(wǎng)絡(luò)安全方案
根據(jù)以上設(shè)備思想和原則���,進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全方案的研究����,方案使用的技術(shù)和設(shè)備、措施主要有以下幾點(diǎn):
3.1 VLAN的技術(shù)
要保證企業(yè)局域網(wǎng)安全����,就要選擇VLAN能力交換機(jī)的設(shè)備,通過用戶群組與系統(tǒng)資源完成訪問權(quán)限的劃分���?��?梢钥刂聘鱒LAN間信息的流向,方便各群組對(duì)相關(guān)信息的訪問��。
3.2加密的技術(shù)
可以使用公共網(wǎng)進(jìn)行數(shù)據(jù)的傳輸��。廣域網(wǎng)進(jìn)行信息傳輸很容易被黑客截取與利用����,所以,要保證信息傳輸安全����,就要在內(nèi)聯(lián)網(wǎng)系統(tǒng)中使用鏈路加密機(jī),進(jìn)行傳輸信息的加密處理��,對(duì)運(yùn)行在互聯(lián)網(wǎng)上關(guān)鍵的業(yè)務(wù)也要進(jìn)行加密的算法進(jìn)行數(shù)據(jù)加密����。
3.3防火墻
從網(wǎng)絡(luò)系統(tǒng)安全考慮�,可以在內(nèi)聯(lián)網(wǎng)和同行業(yè)進(jìn)行網(wǎng)絡(luò)互聯(lián)���,在網(wǎng)上布置防火墻�����,而防火墻的網(wǎng)絡(luò)入口點(diǎn)也要檢查好網(wǎng)絡(luò)通訊情況���,對(duì)非法入侵要屏蔽處理。
3.4對(duì)入侵的檢測(cè)系統(tǒng)
通過防火墻技術(shù)�,對(duì)內(nèi)外網(wǎng)進(jìn)行網(wǎng)絡(luò)保護(hù),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)�����?���?墒?,入侵會(huì)尋找防火墻的后門。近年來�,推出了入侵的檢測(cè)系統(tǒng)���,這是一種新型的網(wǎng)絡(luò)安全技術(shù),可以實(shí)時(shí)進(jìn)行入侵的檢測(cè)����,應(yīng)用防護(hù)的手段,對(duì)待入侵����,可以快速斷開網(wǎng)絡(luò)的連接。
3.5安全掃描系統(tǒng)
安全掃描系統(tǒng)在階段已經(jīng)是最先進(jìn)的安全系統(tǒng)�����,可以測(cè)試與評(píng)價(jià)系統(tǒng)是否安全��,及時(shí)發(fā)現(xiàn)安全漏洞���??梢話呙柙O(shè)定網(wǎng)絡(luò)服務(wù)器和路由器等�,設(shè)定模擬的攻擊,測(cè)試系統(tǒng)防御的能力����。
3.6提高操作系統(tǒng)安全性
操作系統(tǒng)會(huì)存在安全漏洞��,越是流行操作系統(tǒng)就存在越多的問題�����,可以進(jìn)行安全增強(qiáng)與合理配置�,具體增強(qiáng)與配置的內(nèi)容有以下幾點(diǎn):
(1)可以跟蹤系統(tǒng)的應(yīng)用動(dòng)態(tài)����,增加安全補(bǔ)丁。
(2)可以檢查系統(tǒng)的設(shè)置�,對(duì)數(shù)據(jù)存放的方式和訪問的控制及口令的選擇都要及時(shí)更新。
篇3
一���、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述
影響網(wǎng)絡(luò)安全的因素很多���,保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多�����。一般來說�,保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)�����、安全評(píng)估技術(shù)���、防病毒技術(shù)����、加密技術(shù)���、身份認(rèn)證技術(shù)���,等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全���,必須結(jié)合網(wǎng)絡(luò)的具體需求�,將多種安全措施進(jìn)行整合�,建立一個(gè)完整的、立體的����、多層次的網(wǎng)絡(luò)安全防御體系,這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案,可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問題�。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)
1.桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤上�����,使用戶可以方便地存取���、修改�、分發(fā)���。這樣可以提高辦公的效率��,但同時(shí)也造成用戶的信息易受到攻擊��,造成泄密��。特別是對(duì)于移動(dòng)辦公的情況更是如此����。因此����,需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患����。
本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱�����。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)��、加密運(yùn)算協(xié)處理器(CAU)��、只讀存儲(chǔ)器(ROM)���,隨機(jī)存儲(chǔ)器(RAM)�、電可擦除可編程只讀存儲(chǔ)器(E2PROM)等��,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(Chip Operating System)�����、硬件ID號(hào)���、各種密鑰和加密算法等���。紫光S鎖采用了通過中國(guó)人民銀行認(rèn)證的SmartCOS�,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改���,防止非法軟件對(duì)S鎖進(jìn)行操作����。
2.病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀���,在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器�,用于安裝IMSS����。
(1)郵件防毒。采用趨勢(shì)科技的ScanMail for Notes����。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件����,實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒??赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作����,并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告�����。ScanMail是Notes Domino Server使用率最高的防病毒軟件�����。
(2)服務(wù)器防毒���。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念�����,防毒模塊和管理模塊可分開安裝���。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響���,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新����。
(3)客戶端防毒�����。采用趨勢(shì)科技的OfficeScan�����。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)��,使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊���,并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式��,不受Windows域管理模式的約束���,除支持SMS��,登錄域腳本�����,共享安裝以外����,還支持純Web的部署方式。
(4)集中控管TVCS����。管理員可以通過此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件�,支持跨域和跨網(wǎng)段的管理�,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運(yùn)行于何種平臺(tái)和位置�,TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)部署���,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)����,給管理帶來極大的便利����。
3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)
動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開的密碼算法基礎(chǔ)上,結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)�,加以精心修改,通過十次以上的非線性迭代運(yùn)算�,完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散���。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程���、先進(jìn)的密鑰管理方式��,從整體上保證了系統(tǒng)的安全性���。
4.訪問控制“防火墻”
單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接���、分辨非法訪問����、辨別身份偽裝等方面存在著很大的缺陷����,從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻��,分別配置在高性能服務(wù)器和三個(gè)重要部門的局域網(wǎng)出入口����,實(shí)現(xiàn)這些重要部門的訪問控制�。
通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻���,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段����,彼此隔離�����。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器����,使其不受來自內(nèi)部的攻擊��,也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊�。如果有人闖進(jìn)您的一個(gè)部門,或者如果病毒開始蔓延�,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。
5.信息加密��、信息完整性校驗(yàn)
為有效解決辦公區(qū)之間信息的傳輸安全���,可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道���,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性�、真實(shí)性和私有性���。
SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成
網(wǎng)絡(luò)密碼機(jī)(硬件):是一個(gè)基于專用內(nèi)核�,具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)��。
本地管理器(軟件):是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件��。
中心管理器(軟件):是一個(gè)安裝于中心管理平臺(tái)(Windows系統(tǒng))上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件����。
6.安全審計(jì)系統(tǒng)
根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取“加密”����、“外防”、“內(nèi)審”相結(jié)合的方法���,“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視�、審查�,識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密���,以解決內(nèi)層安全。
安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控��,及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)�,發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切�����,提供取證手段��。作為網(wǎng)絡(luò)安全十分重要的一種手段�����,安全審計(jì)系統(tǒng)包括識(shí)別���、記錄、存儲(chǔ)��、分析與安全相關(guān)行為有關(guān)的信息���。
在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能:安全審計(jì)自動(dòng)響應(yīng)�、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析��、安全審計(jì)瀏覽�、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等�����。
本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具���。
漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題���,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)��、控制系統(tǒng)��。
(1)安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成��。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上����,其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接����、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況����。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)�,網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時(shí)獲得監(jiān)控結(jié)果�����、報(bào)警信息以及日志的審計(jì)�。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。
①文件保護(hù)審計(jì):文件保護(hù)安裝在審計(jì)中心���,可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置��,包括禁止讀���、禁止寫、禁止刪除���、禁止修改屬性、禁止重命名�����、記錄日志、提供報(bào)警等功能����。以及對(duì)文件保護(hù)進(jìn)行用戶管理。
②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中����,所有主機(jī)進(jìn)行審計(jì),可以審計(jì)到主機(jī)的機(jī)器名����、當(dāng)前用戶、操作系統(tǒng)類型���、IP地址信息��。
(2)資源監(jiān)控系統(tǒng)主要有四類功能��。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)�,系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開始和結(jié)束�。
②監(jiān)視鍵盤:在用戶指定的時(shí)間段內(nèi),截獲Host Sensor Program用戶的所有鍵盤輸入��,用戶實(shí)時(shí)控制鍵盤截獲的開始和結(jié)束。
③監(jiān)測(cè)監(jiān)控RAS連接:在用戶指定的時(shí)間段內(nèi)���,記錄所有的RAS連接信息����。用戶實(shí)時(shí)控制ass連接信息截獲的開始和結(jié)束�。當(dāng)gas連接非法時(shí),系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作�����。
④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接:在用戶指定的時(shí)間段內(nèi)�����,記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP�, UDP,NetBios)����。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表�����,當(dāng)出現(xiàn)非法連接時(shí)����,系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。
單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來源于安全計(jì)算機(jī)�����,所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器����,保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)上�����,負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則����,同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)��。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái)�����,需要安裝600個(gè)傳感器。
7.入侵檢測(cè)系統(tǒng)IDS
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)��,提供了對(duì)內(nèi)部攻擊����、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵���。從網(wǎng)絡(luò)安全的立體縱深�����、多層次防御的角度出發(fā)����,入侵檢測(cè)理應(yīng)受到人們的高度重視�,這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。
根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度�,選擇IDS探測(cè)器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置,核心交換機(jī)放置控制臺(tái)����,監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
在單位安全內(nèi)網(wǎng)中���,入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門子網(wǎng)和其他部門子網(wǎng)之間�,通過實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流���,分析網(wǎng)絡(luò)通訊會(huì)話軌跡,尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)�����。
8.漏洞掃描系統(tǒng)
本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性���。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品����。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶�,I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體,網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能�����。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品����,就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描�����,可以實(shí)現(xiàn)和IDS�、防火墻聯(lián)動(dòng)�����,尤其適合于制定全網(wǎng)統(tǒng)一的安全策略�。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻����,實(shí)現(xiàn)分布式掃描,服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描�����,網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描�,根據(jù)系統(tǒng)提供的掃描報(bào)告,配合我們提供的三級(jí)服務(wù)體系�����,大大的減輕了工作負(fù)擔(dān),極大的提高了工作效率����。
聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描,有較高的掃描速度�,支持定時(shí)和多IP地址的自動(dòng)掃描,網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)����。同時(shí)提供了Web方式的遠(yuǎn)程管理,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性���。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀���。移動(dòng)式掃描儀使用靈活��,可以跨越網(wǎng)段����、穿透防火墻�����,對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù),這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性�����,最大可能地消除安全隱患�����。
在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)���,在部門交換機(jī)處部署移動(dòng)式掃描儀��,實(shí)現(xiàn)放火墻���、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng),保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性��,最大可能的消除安全隱患�����,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)��,優(yōu)化資源����,提高網(wǎng)絡(luò)的運(yùn)行效率和安全性���。
三、結(jié)束語
隨著網(wǎng)絡(luò)應(yīng)用的深入普及�����,網(wǎng)絡(luò)安全越來越重要�,國(guó)家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)有了更高的要求。一個(gè)特定系統(tǒng)的網(wǎng)絡(luò)安全方案��,應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上����,結(jié)合系統(tǒng)的實(shí)際應(yīng)用而做��。由于各個(gè)系統(tǒng)的應(yīng)用不同���,不能簡(jiǎn)單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固化為一個(gè)模式����,用這個(gè)模子去套所有的信息系統(tǒng)���。
本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從桌面系統(tǒng)安全����、病毒防護(hù)、身份鑒別�、訪問控制、信息加密�、信息完整性校驗(yàn)、抗抵賴����、安全審計(jì)、入侵檢測(cè)��、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案�����,目的是建立一個(gè)完整的�����、立體的�、多層次的網(wǎng)絡(luò)安全防御體系。
參考文獻(xiàn):
[1]吳若松:新的網(wǎng)絡(luò)威脅無處不在[J].信息安全與通信保密����,2005年12期
篇4
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)的應(yīng)用已深入各行各業(yè)��,特別是企事業(yè)單位的日常管理工作更是緊密依賴網(wǎng)絡(luò)資源�?��;诖?���,保證網(wǎng)絡(luò)的正常運(yùn)行就顯得尤為重要�。目前,廣泛采用的安全措施是在企業(yè)局域網(wǎng)里布設(shè)網(wǎng)絡(luò)防火墻��、病毒防火墻�、入侵檢測(cè)系統(tǒng),同時(shí)在局域網(wǎng)內(nèi)設(shè)置服務(wù)器備份與數(shù)據(jù)備份系統(tǒng)等方案���。而這些安全網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)真能有效地保證系統(tǒng)的安全嗎��?做到了這一切系統(tǒng)管理員就能高枕無憂了嗎��?
1 問題的提出
圖1為現(xiàn)實(shí)中常用的二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖����。從圖中可以看出�,網(wǎng)絡(luò)防火墻與入侵檢測(cè)系統(tǒng)(IDS)均部署在網(wǎng)絡(luò)入口處��,即防火墻與入侵檢測(cè)系統(tǒng)所阻擋是外網(wǎng)用戶對(duì)系統(tǒng)的入侵��,但是對(duì)于內(nèi)網(wǎng)用戶來說�����,內(nèi)部網(wǎng)絡(luò)是公開的��,所有的安全依賴于操作系統(tǒng)本身的安全保障措施提供���。對(duì)一般的用戶來講��,內(nèi)網(wǎng)通常是安全的����,即是說這種設(shè)計(jì)的對(duì)于內(nèi)網(wǎng)的用戶應(yīng)該是可信賴的��。然而對(duì)于諸如校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)����,由于操作者基本上都是充滿強(qiáng)烈好奇心而又具探索精神的學(xué)生���,同時(shí)還要面對(duì)那些極少數(shù)有逆反心理、強(qiáng)烈報(bào)復(fù)心的學(xué)生���,這種只有操作系統(tǒng)安全性作為唯一一道防線的網(wǎng)絡(luò)系統(tǒng)的可信賴程度將大打折扣�。
另一方面����,有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員都知道,網(wǎng)絡(luò)中設(shè)置了防火墻與入侵檢測(cè)系統(tǒng)并不能從根本上解決網(wǎng)絡(luò)的安全問題(最安全的方法只能是把網(wǎng)絡(luò)的網(wǎng)線撥了)���,只能對(duì)網(wǎng)絡(luò)攻擊者形成一定的阻礙并延長(zhǎng)其侵入時(shí)間��。操作者只要有足夠的耐心并掌握一定的攻擊技術(shù)�����,這些安全設(shè)施終有倒塌的可能����。
所以�,如何最大可能地延長(zhǎng)入侵者攻擊網(wǎng)絡(luò)的時(shí)間?如何在入侵雖已發(fā)生但尚未造成損失時(shí)及時(shí)發(fā)現(xiàn)入侵��?避開現(xiàn)有入侵檢測(cè)系統(tǒng)可以偵測(cè)的入侵方式而采用新的入侵方式進(jìn)行入侵時(shí)���,管理者又如何發(fā)現(xiàn)���?如何保留入侵者的證據(jù)并將其提交有關(guān)部門?這些問題都是網(wǎng)絡(luò)管理者在安全方面需要經(jīng)常思考的問題���。正是因?yàn)樯鲜鲈?���,蜜罐技術(shù)應(yīng)運(yùn)而生���。
2 蜜罐技術(shù)簡(jiǎn)介
蜜罐技術(shù)的研究起源于上世紀(jì)九十年代初��。蜜罐技術(shù)專家L.Spitzner對(duì)蜜罐是這樣定義的:蜜罐是一個(gè)安全系統(tǒng)����,其價(jià)值在于被掃描��、攻擊或者攻陷����。即意味著蜜罐是一個(gè)包含漏洞的誘騙系統(tǒng)���。它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人設(shè)計(jì)的。它通過模擬一個(gè)或多個(gè)有漏洞的易受攻擊的主機(jī)�,給攻擊者提供十分容易受攻擊的目標(biāo)。
如圖2所示���,蜜罐與正常的服務(wù)器一樣接入核心交換機(jī)�,并安裝相應(yīng)的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)�����,配置相應(yīng)的網(wǎng)絡(luò)服務(wù)�,故意存放“有用的”但已過時(shí)的或可以公開的數(shù)據(jù)。甚至可以將蜜罐服務(wù)器配置成接入網(wǎng)絡(luò)即組成一臺(tái)真正能提供應(yīng)用的服務(wù)器����,只是注意將蜜罐操作系統(tǒng)的安全性配置成低于正常的應(yīng)用服務(wù)器的安全性,或者故意留出一個(gè)或幾個(gè)最新發(fā)現(xiàn)的漏洞���,以便達(dá)到“誘騙”的目的�。
正常配置的蜜罐技術(shù)一旦使用����,便可發(fā)揮其特殊功能�����。
1) 由于蜜罐并沒有向外界提供真正有價(jià)值的服務(wù),正常情況下蜜罐系統(tǒng)不被訪問����,因此所有對(duì)其鏈接的嘗試都將被視為可疑的,這樣蜜罐對(duì)網(wǎng)絡(luò)常見掃描��、入侵的反應(yīng)靈敏度大大提高�����,有利于對(duì)入侵的檢測(cè)�。
2) 蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊,讓攻擊者在蜜罐上浪費(fèi)時(shí)間���。如圖二�����, 正常提供服務(wù)的服務(wù)器有4個(gè)�,加入4個(gè)蜜罐,在攻擊者看來�����,服務(wù)器有8個(gè)�����,其掃描與攻擊的對(duì)象也增加為8個(gè)��,所以大大減少了正常服務(wù)器受攻擊的可能性��。同時(shí)�����,由于蜜罐的漏洞多于正常服務(wù)器����,必將更加容易吸引攻擊者注意,讓其首先將時(shí)間花在攻擊蜜罐服務(wù)器上�。蜜罐服務(wù)器靈敏的檢測(cè)并及時(shí)報(bào)警,這樣可以使網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)有攻擊者入侵并及時(shí)采取措施�,從而使最初可能受攻擊的目標(biāo)得到了保護(hù),真正有價(jià)值的內(nèi)容沒有受到侵犯�����。
3) 由于蜜罐服務(wù)器上安裝了入侵檢測(cè)系統(tǒng),因此它可以及時(shí)記錄攻擊者對(duì)服務(wù)器的訪問�,從而能準(zhǔn)確地為追蹤攻擊者提供有用的線索,為攻擊者搜集有效的證據(jù)�����。從這個(gè)意義上說����,蜜罐就是“誘捕”攻擊者的一個(gè)陷阱��。
經(jīng)過多年的發(fā)展�,蜜罐技術(shù)已成為保護(hù)網(wǎng)絡(luò)安全的切實(shí)有效的手段之一。對(duì)企事關(guān)單位業(yè)務(wù)數(shù)據(jù)處理���,均可以通過部署蜜罐來達(dá)到提高其安全性的目的���。
3 蜜罐與蜜網(wǎng)技術(shù)
蜜罐最初應(yīng)用是真正的主機(jī)與易受攻擊的系統(tǒng),以獲取黑客入侵證據(jù)�、方便管理員提前采取措施與研究黑客入侵手段。1998年開始��,蜜罐技術(shù)開始吸引了一些安全研究人員的注意,并開發(fā)出一些專門用于欺騙黑客的開放性源代碼工具���,如Fred Cohen所開發(fā)的DTK(欺騙工具包)����、Niels Provos開發(fā)的Honeyd等����,同時(shí)也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品���。
這一階段的蜜罐可以稱為是虛擬蜜罐����,即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)并對(duì)黑客的攻擊行為做出回應(yīng)�����,從而欺騙黑客�。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低�、較容易被黑客識(shí)別等問題。從2000年之后����,安全研究人員更傾向于使用真實(shí)的主機(jī)�、操作系統(tǒng)和應(yīng)用程序搭建蜜罐����,與之前不同的是,融入了更強(qiáng)大的數(shù)據(jù)捕獲��、數(shù)據(jù)分析和數(shù)據(jù)控制的工具�,并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中.使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。
蜜網(wǎng)技術(shù)的模型如圖3所示�����。由圖中可以看出�����,蜜網(wǎng)與蜜罐最大的差別在于系統(tǒng)中多布置了一個(gè)蜜網(wǎng)網(wǎng)關(guān)(honeywall)與日志服務(wù)器����。其中蜜網(wǎng)網(wǎng)關(guān)僅僅作為兩個(gè)網(wǎng)絡(luò)的連接設(shè)備���,因此沒有MAC地址��,也不對(duì)任何的數(shù)據(jù)包進(jìn)行路由及對(duì)TTL計(jì)數(shù)遞減�。蜜網(wǎng)網(wǎng)關(guān)的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發(fā)送到蜜網(wǎng)內(nèi)的機(jī)器的數(shù)據(jù)包都會(huì)經(jīng)由Honeywall網(wǎng)關(guān)���,從而確保管理員能捕捉和控制網(wǎng)絡(luò)活動(dòng)�����。而日志服務(wù)器則記錄了攻擊者在蜜罐機(jī)上的所有的行為以便于對(duì)攻擊者的行為進(jìn)行分析�����,并對(duì)蜜罐機(jī)上的日志進(jìn)行備份以保留證據(jù)��。這樣攻擊者并不會(huì)意識(shí)到網(wǎng)絡(luò)管理員正在監(jiān)視著他����,捕獲的行為也使管理員掌握了攻擊者使用的工具���、策略和動(dòng)機(jī)���。
4 蜜罐部署
由前述內(nèi)容可以看出,蜜罐服務(wù)器布置得越多,應(yīng)用服務(wù)器被掃描與攻擊的風(fēng)險(xiǎn)則越小�,但同時(shí)系統(tǒng)成本將大幅度提高,管理難度也加大�。正因?yàn)槿绱耍瑢?shí)際中蜜罐的部署是通過虛擬計(jì)算系統(tǒng)來完成的�。
當(dāng)前在Windows平臺(tái)上流行的虛擬計(jì)算機(jī)系統(tǒng)主要有微軟的Virtual Pc與Vmware。以Vmware為例�����,物理主機(jī)配置兩個(gè)網(wǎng)卡����,采用Windows2000或Windows XP操作系統(tǒng),并安裝VMwar��。建立一臺(tái)虛擬機(jī)作為蜜網(wǎng)網(wǎng)關(guān)�,此虛擬機(jī)設(shè)置三個(gè)虛擬網(wǎng)卡(其虛擬網(wǎng)卡類型見圖4)��,分別連接系統(tǒng)工作網(wǎng)�、虛擬服務(wù)器網(wǎng)與監(jiān)控服務(wù)器。虛擬服務(wù)器網(wǎng)根據(jù)物理主機(jī)內(nèi)存及磁盤空間大小可虛擬多個(gè)服務(wù)器并安裝相應(yīng)的操作系統(tǒng)及應(yīng)用軟件�����,以此誘惑黑客攻擊。蜜網(wǎng)服務(wù)器用于收集黑客攻擊信息并保留證據(jù)�����。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖4所示���。
系統(tǒng)部署基本過程如下:
4.1 主機(jī)硬件需求
CPU:Pentium 4 以上CPU�����,雙核更佳�����。
硬盤:80G以上����,視虛擬操作系統(tǒng)數(shù)量而定��。
內(nèi)存:1G以上����,其中蜜網(wǎng)軟件Honeywall至少需要256M以上。其它視虛擬操作系統(tǒng)數(shù)量而定���。(下轉(zhuǎn)第346頁(yè))
(上接第341頁(yè))
網(wǎng)卡:兩個(gè)����,其中一個(gè)作為主網(wǎng)絡(luò)接入,另一個(gè)作為監(jiān)控使用����。
其它設(shè)備:視需要而定
4.2 所需軟件
操作系統(tǒng)安裝光盤:Windows 2000或Windows 2003;
虛擬機(jī)軟件:VMware Workstation for Win32���;
蜜網(wǎng)網(wǎng)關(guān)軟件:Roo Honeywall CDROM v1.2�����,可從蜜網(wǎng)項(xiàng)目組網(wǎng)站(一個(gè)非贏利國(guó)際組織�����,研究蜜網(wǎng)技術(shù)�,網(wǎng)址為)下載安裝光盤��。
4.3 安裝過程
1)安裝主機(jī)操作系統(tǒng)��。
2) 安裝虛擬機(jī)軟件�����。
3) 構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)���。其中蜜網(wǎng)網(wǎng)關(guān)虛擬類型為L(zhǎng)inux���,內(nèi)存分配為256M以上,最好為512M��,硬盤空間為4G以上�,最好為10G。網(wǎng)卡三個(gè)��,分別設(shè)為VMnet0����、VMnet1和VMnet2,如圖4所示�����。
4) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上安裝honeywall��,配置IP信息��、管理信息等。
5) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上配置Sebek服務(wù)器端��,以利用蜜網(wǎng)網(wǎng)關(guān)收集信息����。
6) 安裝虛擬服務(wù)器組,并布設(shè)相應(yīng)的應(yīng)用系統(tǒng)��。注意虛擬服務(wù)器組均配置為VMnet1�,以使其接入蜜網(wǎng)網(wǎng)關(guān)機(jī)后。
7) 在虛擬服務(wù)器組上安裝并配置sebek客戶端�。
8) 通過監(jiān)控機(jī)的瀏覽器測(cè)試蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)。
總之����,虛擬蜜網(wǎng)系統(tǒng)旨在利用蜜網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析等功能��,通過對(duì)蜜網(wǎng)防火墻的日志記錄�����、eth1上的嗅探器記錄的網(wǎng)絡(luò)流和Sebek 捕獲的系統(tǒng)活動(dòng)���,達(dá)到分析網(wǎng)絡(luò)入侵手段與方法的目的�����,以利于延緩網(wǎng)絡(luò)攻擊�、改進(jìn)網(wǎng)絡(luò)安全性的目的��。
參考文獻(xiàn):
[1] 王連忠.蜜罐技術(shù)原理探究[J].中國(guó)科技信息,2005(5):28.
[2] 牛少彰,張 瑋. 蜜罐與蜜網(wǎng)技術(shù)[J].通信市場(chǎng),2006(12):64-65.
[3] 殷聯(lián)甫.主動(dòng)防護(hù)網(wǎng)絡(luò)入侵的蜜罐(Honeypot)技術(shù)[J].計(jì)算機(jī)應(yīng)用,2004(7):29-31.
篇5
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 15-0000-01
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一�����、計(jì)算機(jī)網(wǎng)絡(luò)安全的定義
計(jì)算機(jī)網(wǎng)絡(luò)安全指的是網(wǎng)絡(luò)系統(tǒng)中的硬件與軟件及其數(shù)據(jù)受到保護(hù)�����,而不會(huì)出現(xiàn)數(shù)據(jù)與信息的泄露����、破壞或更改。簡(jiǎn)單來講����,計(jì)算機(jī)網(wǎng)絡(luò)安全就是信息安全。信息安全包括信息的可靠性���、保密性�、真實(shí)性、完整性以及可用性���。
互聯(lián)網(wǎng)自從20世紀(jì)60年代開始運(yùn)用后�����,計(jì)算機(jī)網(wǎng)絡(luò)開始迅速發(fā)展起來���。隨著網(wǎng)絡(luò)上信息量的增長(zhǎng),網(wǎng)絡(luò)信息安全問題也頻繁出現(xiàn)���。這些問題不僅危害著個(gè)人的生活����,甚至?xí)绊懙焦镜倪\(yùn)營(yíng)進(jìn)程�。所以維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全至關(guān)重要。
二���、計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀
第一�,網(wǎng)絡(luò)安全問題的出現(xiàn)與計(jì)算機(jī)操作者本身是密不可分的���。雖然目前很多計(jì)算機(jī)安全工具的出現(xiàn)預(yù)防了一些安全問題的發(fā)生���。但是網(wǎng)絡(luò)安全問題的最終結(jié)果在很大程度上取決于計(jì)算機(jī)的操作者�����。如果操作者運(yùn)用了不正當(dāng)?shù)氖侄芜M(jìn)行網(wǎng)絡(luò)操作,或者進(jìn)入了不健康網(wǎng)站瀏覽了不健康內(nèi)容��,就會(huì)導(dǎo)致個(gè)人信息的泄露��,產(chǎn)生和增加網(wǎng)絡(luò)不安全因素����。第二,網(wǎng)絡(luò)程序的設(shè)計(jì)往往會(huì)有漏洞���,沒有一個(gè)沒有漏洞的程序��。所以網(wǎng)絡(luò)黑客就會(huì)抓住機(jī)會(huì)��,利用程序中出現(xiàn)的漏洞����,對(duì)其他正常程序進(jìn)行攻擊�����。最重要的是這種黑客采用的程序漏洞一般都不留痕跡,無法查證安全威脅發(fā)生的原因����。第三,網(wǎng)絡(luò)安全工具的更新速度遠(yuǎn)遠(yuǎn)跟不上黑客攻擊正常程序的手段的發(fā)明和使用���。通常只有在人為的參與下���,才能發(fā)現(xiàn)和檢測(cè)出病毒的存在。在沒有檢查和檢測(cè)的前提下�����,這種病毒就不會(huì)被察覺出來����,隱藏于電腦的程序中。但是往往一些病毒在發(fā)現(xiàn)之時(shí)就已經(jīng)出現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)安全問題�����。在這段計(jì)算機(jī)的“遲鈍期”內(nèi),黑客就很容易有機(jī)可乘��,進(jìn)而能夠使用最先進(jìn)的��、最新的手段對(duì)正常的程序進(jìn)行攻擊�。第四,防火墻功能的局限性也會(huì)導(dǎo)致網(wǎng)絡(luò)安全威脅的出現(xiàn)�����。因?yàn)榉阑饓梢酝ㄟ^限制外部的網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問���,隱蔽內(nèi)部結(jié)構(gòu),從而達(dá)到保護(hù)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的目的�。但是防火墻卻無法阻止計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部之間的攻擊和破壞。而且防火墻很難預(yù)防那些從網(wǎng)絡(luò)系統(tǒng)的后門進(jìn)入的病毒����。技術(shù)上的缺陷,使得網(wǎng)絡(luò)安全問題不斷出現(xiàn)新的��、更高級(jí)的安全�����、隱患問題。
三�、計(jì)算機(jī)網(wǎng)絡(luò)安全保障方案的制定與實(shí)施
(一)從國(guó)家和政府的角度去制定相關(guān)的政策法規(guī),用法律的強(qiáng)制力去保證計(jì)算機(jī)網(wǎng)絡(luò)的安全����。加大對(duì)網(wǎng)絡(luò)安全危害行為的懲罰力度,制定相應(yīng)的具體的處罰措施�����。嚴(yán)厲懲治危害網(wǎng)絡(luò)安全���,盜取別人信息的違法行為���,減少網(wǎng)絡(luò)安全危害行為的發(fā)生。發(fā)揮政府的監(jiān)督作用和強(qiáng)制作用���,將維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全提上日常日程����。建立和完善相關(guān)的法律法規(guī)之后就對(duì)網(wǎng)絡(luò)安全危害行為造成一定的威懾力���,將危害網(wǎng)絡(luò)安全的行為扼殺在搖籃中���。(二)加大網(wǎng)絡(luò)安全危害行為的宣傳力度�����,增強(qiáng)每個(gè)網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)����。通過報(bào)紙�����、電視�����、網(wǎng)絡(luò)以及廣報(bào)等各種形式的宣傳���,讓廣大網(wǎng)民意識(shí)到網(wǎng)絡(luò)安全問題的重要性。同時(shí)學(xué)習(xí)安全上網(wǎng)和文明上網(wǎng)�,保證網(wǎng)絡(luò)信息的安全。加強(qiáng)網(wǎng)絡(luò)安全維護(hù)意識(shí)���,有利于保護(hù)網(wǎng)民的隱私���。當(dāng)網(wǎng)絡(luò)信息安全意識(shí)深入到每個(gè)網(wǎng)民的內(nèi)心���,維護(hù)網(wǎng)絡(luò)安全的行為就會(huì)在潛意識(shí)里面發(fā)生。每個(gè)人都加強(qiáng)了安全防范意識(shí)�,同時(shí)進(jìn)行文明上網(wǎng)、健康上網(wǎng)�。(三)從計(jì)算機(jī)的操作技術(shù)上進(jìn)行防范網(wǎng)絡(luò)安全威脅的發(fā)生。對(duì)計(jì)算機(jī)的系統(tǒng)軟件���、應(yīng)用軟件以及硬件進(jìn)行及時(shí)的更新和升級(jí)�,增強(qiáng)系統(tǒng)對(duì)病毒的抵抗力���。計(jì)算機(jī)用戶要進(jìn)行正確的開機(jī)����、關(guān)機(jī)以及上網(wǎng)行為�����,注意保護(hù)電腦上的軟件以及硬件設(shè)施����。(四)提高防火墻技術(shù)�����、網(wǎng)絡(luò)防病毒技術(shù)�����、加密技術(shù)和入侵檢測(cè)技術(shù)����,加強(qiáng)訪問控制����,將病毒拒絕于門外。不斷進(jìn)行專業(yè)的研究和分析��,更新和升級(jí)各項(xiàng)技術(shù)�,減少病毒的入侵幾率�����。定期運(yùn)用這些技術(shù)隊(duì)電腦進(jìn)行掃描和檢測(cè)��,對(duì)個(gè)人電腦設(shè)置加密技術(shù)�,只有制定的用戶和指導(dǎo)密碼的用戶才可以進(jìn)行解密進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)�。(五)要注意IP地址的正確使用�����,避免被黑客鉆漏洞�。
四、結(jié)語
在網(wǎng)絡(luò)安全問題日益得到重視的今天���,網(wǎng)絡(luò)安全技術(shù)隨著國(guó)家以及專業(yè)人士的重視也得到了快速的發(fā)展和進(jìn)步����。但是��,由于我國(guó)的信息安全產(chǎn)品制作方面缺少核心技術(shù)����,真正能夠解決深層次的網(wǎng)絡(luò)安全問題的技術(shù)卻很少。所以��,國(guó)家首先要重視發(fā)展網(wǎng)絡(luò)信息安全產(chǎn)業(yè)���,在政策上給予支持�。最重要的還是每位網(wǎng)民�����,因?yàn)榻佑|計(jì)算機(jī)、運(yùn)用各種軟件以及系統(tǒng)的人的上網(wǎng)行為往往是病毒的準(zhǔn)入證�����。只要每個(gè)網(wǎng)民都進(jìn)行健康上網(wǎng)�、文明上網(wǎng),網(wǎng)絡(luò)安全就能實(shí)現(xiàn)��。
參考文獻(xiàn):
[1]彭秀芬,徐寧.計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,12
篇6
1 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建意義
目前����,我國(guó)大中型企業(yè)信息化建設(shè)中的關(guān)鍵部分就是信息安全建設(shè),解決信息安全問題有利于企業(yè)信息化建設(shè)工作的全面推進(jìn)��。企業(yè)信息安全建設(shè)的最終目的是要真正做到“防患于未然”�,信息安全的有效性建設(shè)能夠控制企業(yè)信息化建設(shè)的總體成本,為企業(yè)節(jié)約大量資金���,實(shí)現(xiàn)資源優(yōu)化配置�����。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)工作要始終堅(jiān)持等級(jí)保護(hù)理念�����,才能促進(jìn)企業(yè)信息安全建設(shè)工作的穩(wěn)步實(shí)施�����,保證企業(yè)信息管理系統(tǒng)的建設(shè)符合行業(yè)標(biāo)準(zhǔn)和政策規(guī)定�����,全面提升企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中的競(jìng)爭(zhēng)力�����。
2 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的弱點(diǎn)和威脅
2.1 信息安全弱點(diǎn)
信息安全弱點(diǎn)與企業(yè)信息資源密切相關(guān)�,信息安全弱點(diǎn)的暴露很有可能導(dǎo)致企業(yè)資產(chǎn)的嚴(yán)重?fù)p失����。但是,信息安全弱點(diǎn)本身并不會(huì)為企業(yè)帶來?yè)p失��,只是在特定的環(huán)境下被非法者利用后才會(huì)造成企業(yè)資產(chǎn)損失�����,例如,企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題�,管理員的管理措施問題等,這些信息安全弱點(diǎn)都為非法攻擊者提供了非法入侵的可能��。
2.2 信息安全威脅
信息安全威脅指的是對(duì)企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素��,信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素�����。信息安全威脅可能是偶然發(fā)生的事件���,也有可能是人為蓄意制造的時(shí)間���,包括信息泄露、信息篡改等���,這些事件都會(huì)導(dǎo)致企業(yè)信息的可用性��、完整性和保密性遭到破壞����,屬于對(duì)企業(yè)信息的惡意攻擊。
2.3 網(wǎng)絡(luò)安全事件
由于網(wǎng)絡(luò)特有的開放性特點(diǎn)�����,造成了非法攻擊��、黑客入侵���、病毒傳播等海量安全事件發(fā)生,信息安全領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全的研究也日益重視��。根據(jù)大量網(wǎng)絡(luò)安全事件分析來看�����,企業(yè)信息管理系統(tǒng)的應(yīng)用設(shè)計(jì)存在著諸多缺陷和弊端����,給情報(bào)機(jī)構(gòu)的非法入侵提供了極大的可能性。由此���,內(nèi)容分級(jí)制度�����、脆弱性檢測(cè)技術(shù)����、智能分析技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)信息系統(tǒng)開發(fā)過程中。
3 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的主要問題
⑴企業(yè)分部采用寬帶撥號(hào)上網(wǎng)的方式與企業(yè)總部實(shí)現(xiàn)通信傳輸�,這種落后的網(wǎng)絡(luò)通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩浴F髽I(yè)信息安全級(jí)別較高的部門通過互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中���,沒有采取任何數(shù)據(jù)加密措施���,非常容易造成數(shù)據(jù)信息的泄露和篡改,同時(shí)�����,企業(yè)信息管理系統(tǒng)的操作應(yīng)用沒有設(shè)置明確的管理人員����,導(dǎo)致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡(luò)中,對(duì)服務(wù)器數(shù)據(jù)進(jìn)行竊取和篡改�。以上兩種網(wǎng)絡(luò)安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露,甚至給企業(yè)帶來不看估計(jì)的損失���。
⑵隨著企業(yè)網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大���,在網(wǎng)絡(luò)邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)���,已經(jīng)無法適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)互連技術(shù)。企業(yè)雖然可以在網(wǎng)絡(luò)邊界的路由器中設(shè)置訪問控制策略�,但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊���、IP地址攻擊��、ARP協(xié)議欺騙等問題�����,這表明了企業(yè)需要一善可靠的防火墻設(shè)備�����,來對(duì)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸提供有效控制和保護(hù)�����。
⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展���,為企業(yè)提供了豐富的信息資源����,除了企業(yè)日常運(yùn)營(yíng)需要使用網(wǎng)絡(luò)資源���,其他工作人員也有可能通過網(wǎng)絡(luò)獲取信息資源���,例如使用迅雷、BT等軟件下載視音頻信息等����,網(wǎng)絡(luò)下載會(huì)占用企業(yè)大部分帶寬資源,嚴(yán)重的會(huì)導(dǎo)致系統(tǒng)管理員無法對(duì)網(wǎng)絡(luò)終端的訪問情況進(jìn)行有效管理���,或者某一個(gè)計(jì)算機(jī)終端因下載感染病毒而引發(fā)ARP欺騙��。
⑷隨著互聯(lián)網(wǎng)應(yīng)用的日益普及��,木馬病毒的廣泛傳播����,企業(yè)員工計(jì)算機(jī)使用水平參差不齊���,不能保證對(duì)網(wǎng)絡(luò)中的有害信息進(jìn)行有效識(shí)別����,由此導(dǎo)致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)的感染和傳播。因此��,需要定期對(duì)企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進(jìn)行病毒查殺和威脅分析�,以此起到有害信息過濾的作用,使流入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息能夠安全可靠�����,真正降低企業(yè)信息安全風(fēng)險(xiǎn)�����。同時(shí)���,企業(yè)可以采用網(wǎng)關(guān)防病毒產(chǎn)品,在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)處進(jìn)行隔離保護(hù)�����,當(dāng)木馬病毒出現(xiàn)時(shí)可以被攔截在企業(yè)內(nèi)部網(wǎng)絡(luò)之外���,為企業(yè)提供可靠的安全邊界保護(hù)�。
4 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建實(shí)施
企業(yè)總部需要與企業(yè)分部,以及其他合作企業(yè)之間實(shí)現(xiàn)數(shù)據(jù)傳輸與交換���,企業(yè)派往外地出差的員工也需要通過遠(yuǎn)程網(wǎng)絡(luò)訪問企業(yè)總部?jī)?nèi)網(wǎng)的信息管理系統(tǒng)����,因此�,不同用戶企業(yè)總部?jī)?nèi)部網(wǎng)絡(luò)的訪問有著不同需求,企業(yè)必須具有安全可靠����、性能較高、成本較低的網(wǎng)絡(luò)接入方式���。由于企業(yè)分部大部分與企業(yè)總部不在一個(gè)城市�,在企業(yè)總部與企業(yè)分部之間鋪設(shè)光纜線路是極為不現(xiàn)實(shí)的�����;如果租用專用光纖網(wǎng)絡(luò)通信線路�����,高額的租賃費(fèi)用會(huì)嚴(yán)重增加企業(yè)運(yùn)營(yíng)發(fā)展的經(jīng)濟(jì)負(fù)擔(dān)���;如果將企業(yè)總部?jī)?nèi)部網(wǎng)絡(luò)的應(yīng)用服務(wù)器映射在網(wǎng)關(guān)位置����,雖然能夠方面用戶遠(yuǎn)程訪問企業(yè)內(nèi)部信息管理系統(tǒng),但會(huì)給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患����。本文基于以上分析,本文選擇利用VPN技術(shù)(虛擬局域網(wǎng))在企業(yè)內(nèi)部網(wǎng)絡(luò)出口處��,虛擬設(shè)置一條網(wǎng)絡(luò)專線���,以此將企業(yè)總部與企業(yè)分部網(wǎng)絡(luò)進(jìn)行有效連接�����,形成一個(gè)規(guī)模較大的局域網(wǎng),真正實(shí)現(xiàn)了用戶遠(yuǎn)程訪問和接入�。VPN技術(shù)不僅能夠滿足異地用戶對(duì)企業(yè)總部網(wǎng)絡(luò)信息管理系統(tǒng)的訪問需求,而且充分保證了用戶訪問的安全性����,避免了單點(diǎn)登錄技術(shù)對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)構(gòu)成的安全威脅。
企業(yè)在部署上網(wǎng)行為管理設(shè)備(SINFOR M5X00-AC)時(shí)�����,應(yīng)該開啟VPN功能,在企業(yè)總部?jī)?nèi)部網(wǎng)絡(luò)的邊界防火墻設(shè)備中進(jìn)行端口映射��,同時(shí)在企業(yè)分部網(wǎng)絡(luò)中安裝上網(wǎng)行為管理設(shè)備�����,并且與企業(yè)總部的上網(wǎng)行為管理設(shè)備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡(luò)���,在對(duì)數(shù)據(jù)信息進(jìn)行加密后在互聯(lián)網(wǎng)上傳輸���。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡(luò)時(shí),只要在任何一端的連接管理設(shè)置中輸入對(duì)方網(wǎng)絡(luò)地址���,VPN設(shè)備就可以自動(dòng)進(jìn)行虛擬局域網(wǎng)組建�,網(wǎng)絡(luò)中的任何計(jì)算機(jī)終端都可以通過虛擬專用網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸與共享�����。如果還有其他分部需要加入到虛擬局域網(wǎng)中�,則可以通過輸入加密的訪問WAN扣地址實(shí)現(xiàn)。需要注意的是,已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同����。
企業(yè)在部署上網(wǎng)行為管理設(shè)備時(shí),由于訪問控制策略是信息安全策略的核心部分����,也是對(duì)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護(hù)措施,由此����,需要對(duì)接入企業(yè)總部網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證,根據(jù)不同用戶的身份授予不同權(quán)限�����,再利用配置邏輯隔離服務(wù)器實(shí)現(xiàn)不同用戶身份對(duì)不同應(yīng)用服務(wù)器的接入�����,從而對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)信息管理系統(tǒng)進(jìn)行訪問和使用�。同時(shí)�,安全級(jí)別為五級(jí)的QoS安全機(jī)制能夠?yàn)槠髽I(yè)不同信息系統(tǒng)提供相應(yīng)的安全服務(wù)保障,并且可以按照業(yè)務(wù)類別劃分優(yōu)先級(jí)別��,重要的數(shù)據(jù)信息將會(huì)獲得優(yōu)先傳輸?shù)臋?quán)限。對(duì)用戶訪問權(quán)限的細(xì)致劃分可以限制非法用戶對(duì)網(wǎng)絡(luò)資源的訪問和使用���,防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行破壞性操作����,直接對(duì)接入企業(yè)內(nèi)部網(wǎng)絡(luò)的各項(xiàng)訪問應(yīng)用進(jìn)行管控�,真正提高了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。
在企業(yè)內(nèi)部網(wǎng)絡(luò)部署應(yīng)用安全產(chǎn)品過程中���,需要綜合考慮如何完成安全產(chǎn)品的部署策略�����,才能使安全產(chǎn)品的性能充分發(fā)揮�,同時(shí)����,企業(yè)內(nèi)部網(wǎng)絡(luò)還可以將不同的安全產(chǎn)品集成應(yīng)用,使其發(fā)揮最大功能�,充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。
本文基于信息安全等級(jí)指導(dǎo)思想下���,對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題進(jìn)行了分析�����,并提出了良好的解決方案����,包括防火墻的部署、入侵檢測(cè)設(shè)備的部署��、上網(wǎng)行為管理設(shè)備的部署��、防毒墻的部署����、企業(yè)版殺毒軟件的部署等。
5 結(jié)論
綜上所述��,本文在網(wǎng)絡(luò)信息安全等級(jí)保護(hù)理念下���,將企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)的有效性作為最終目標(biāo)��,對(duì)企業(yè)網(wǎng)絡(luò)信息安全存在的風(fēng)險(xiǎn)進(jìn)行深入分析��,結(jié)合企業(yè)實(shí)際情況��,提出了企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)方案,保障了企業(yè)總部?jī)?nèi)部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間數(shù)據(jù)傳輸通信的安全性和可靠性。
[參考文獻(xiàn)]
[1]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實(shí)踐[J].中國(guó)新通信�,2013,09:25-27.
[2]王迅.電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析[J].科技傳播���,2013��,07:217+209.
篇7
【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 解決方案 企業(yè)網(wǎng)絡(luò)安全
網(wǎng)絡(luò)由于其系統(tǒng)方面漏洞導(dǎo)致的安全問題是企業(yè)的一大困擾���,如何消除辦企業(yè)網(wǎng)絡(luò)的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡(luò)安全技術(shù)的出現(xiàn)為企業(yè)的網(wǎng)絡(luò)信息安全帶來重要保障�,為企業(yè)的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。
1 網(wǎng)絡(luò)安全技術(shù)
1.1 防火墻技術(shù)
防火墻技術(shù)主要作用是實(shí)現(xiàn)了網(wǎng)絡(luò)之間訪問的有效控制���,對(duì)外部不明身份的對(duì)象采取隔離的方式禁止其進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)�����,從而實(shí)現(xiàn)對(duì)企業(yè)信息的保護(hù)���。
如果將公司比作人,公司防盜系統(tǒng)就如同人的皮膚一樣��,是阻擋外部異物的第一道屏障�����,其他一切防盜系統(tǒng)都是建立在防火墻的基礎(chǔ)上。現(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻����,防火墻又可以細(xì)分為服務(wù)防火墻和包過濾技術(shù)防火墻。服務(wù)防火墻的作用一般是在雙方進(jìn)行電子商務(wù)交易時(shí)����,作為中間人的角色,履行監(jiān)督職責(zé)�����。包過濾技術(shù)防火墻就像是一個(gè)篩子����,會(huì)選擇性的讓數(shù)據(jù)信息通過或隔離。
1.2 加密技術(shù)
加密技術(shù)是企業(yè)常用保護(hù)數(shù)據(jù)信息的一種便捷技術(shù)�����,主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進(jìn)行保護(hù)���,避免被不法分子盜取利用�。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對(duì)重要的數(shù)據(jù)通過一定的規(guī)律進(jìn)行變換�����,改變其原有特征��,讓外部人員無法直接觀察其本質(zhì)含義�����,這種加密技術(shù)具有簡(jiǎn)便性和有效性�,但是存在一定的風(fēng)險(xiǎn)�,一旦加密規(guī)律被別人知道后就很容易將其破解?;诠€的加密算法指的是由對(duì)應(yīng)的一對(duì)唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強(qiáng)的隱蔽性�����,外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙����,因此具有較強(qiáng)的保密性。
1.3 身份鑒定技術(shù)
身份鑒定技術(shù)就是根據(jù)具體的特征對(duì)個(gè)人進(jìn)行識(shí)別�,根據(jù)識(shí)別的結(jié)果來判斷識(shí)別對(duì)象是否符合具體條件�,再由系統(tǒng)判斷是否對(duì)來人開放權(quán)限����。這種方式對(duì)于冒名頂替者十分有效,比如指紋或者后虹膜����, 一般情況下只有本人才有權(quán)限進(jìn)行某些專屬操作,也難以被模擬�����,安全性能比較可靠���。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機(jī)密信息的保密過程中�����,具有較強(qiáng)的實(shí)用性�����。
2 企業(yè)網(wǎng)絡(luò)安全體系解決方案
2.1 控制網(wǎng)絡(luò)訪問
對(duì)網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段��,通過設(shè)置各種權(quán)限避免企業(yè)信息外流����,保證企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中具有一定的競(jìng)爭(zhēng)力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M(jìn)行設(shè)置��,針對(duì)個(gè)體對(duì)象按照網(wǎng)絡(luò)協(xié)議進(jìn)行訪問權(quán)限設(shè)置����,將網(wǎng)絡(luò)進(jìn)行細(xì)分�����,根據(jù)不同的功能對(duì)企業(yè)內(nèi)部的工作人員進(jìn)行權(quán)限管理����。企業(yè)辦公人員需要使用到的功能給予開通,其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限�。另外對(duì)于一些重要信息設(shè)置寫保護(hù)或讀保護(hù),從根本上保障企業(yè)機(jī)密信息的安全����。另外對(duì)網(wǎng)絡(luò)的訪問控制可以分時(shí)段進(jìn)行,例如某文件只可以在相應(yīng)日期的一段時(shí)間內(nèi)打開���。
企業(yè)網(wǎng)絡(luò)設(shè)計(jì)過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題�,因此在實(shí)際設(shè)計(jì)過程中應(yīng)該對(duì)各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全管理���,例如對(duì)各種設(shè)備的接口以及設(shè)備間的信息傳送方式進(jìn)行科學(xué)管理��,在保證其基本功能的基礎(chǔ)上消除其他功能�����,利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng)���,消除網(wǎng)絡(luò)安全的脆弱性。
企業(yè)經(jīng)營(yíng)過程中由于業(yè)務(wù)需求常需要通過遠(yuǎn)端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò)����,遠(yuǎn)程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對(duì)象,因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠(yuǎn)程訪問設(shè)備�����,提高遠(yuǎn)程網(wǎng)絡(luò)訪問的安全性��。同時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)重新設(shè)置���,對(duì)登入身份信息進(jìn)行加密處理�,保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取,在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對(duì)傳輸?shù)臄?shù)據(jù)審核�����,避免信息通過其他渠道外泄�,提高信息傳輸?shù)陌踩浴?/p>
2.2 網(wǎng)絡(luò)的安全傳輸
電子商務(wù)時(shí)代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上,供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進(jìn)行傳遞�����,信息在傳遞過程中容易被不法分子盜取���,給企業(yè)造成重大經(jīng)濟(jì)損失。為了避免信息被竊取�����,企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng)����,通過防火墻技術(shù)將身份無法識(shí)別的隔離在企業(yè)網(wǎng)絡(luò)之外,保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸���。另外可以通過相應(yīng)的加密技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理���,技術(shù)一些黑客破解企業(yè)的防火墻��,竊取到的信息也是難以理解的加密數(shù)據(jù)���,加密過后的信息常常以亂碼的形式存在。從理論上而言�,加密的信息仍舊有被破解的可能性,但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的����,即使是最先進(jìn)的密碼破解技術(shù)也要花費(fèi)相當(dāng)長(zhǎng)的時(shí)間,等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時(shí)效性�,成為一條無用的信息,對(duì)企業(yè)而言沒有任何影響�。
2.3 網(wǎng)絡(luò)攻擊檢測(cè)
一些黑客通常會(huì)利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò),并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)�����,對(duì)企業(yè)信息進(jìn)行竊取或更改��。為避免惡意網(wǎng)絡(luò)攻擊����,企業(yè)可以引進(jìn)入侵檢測(cè)系統(tǒng)��,并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來�����,對(duì)企業(yè)信息實(shí)行雙重保護(hù)��。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)�,將入侵檢測(cè)系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個(gè)環(huán)節(jié)�,尤其是重要部門的機(jī)密信息需要重點(diǎn)監(jiān)控。利用防火墻技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護(hù)屏障���,再配以檢測(cè)技術(shù)以及相關(guān)加密技術(shù)��,防火記錄用戶的身份信息,遇到無法識(shí)別的身份信息即將數(shù)據(jù)傳輸給管理員���。后續(xù)的入侵檢測(cè)技術(shù)將徹底阻擋黑客的攻擊��,并對(duì)黑客身份信息進(jìn)行分析�����。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)�����,難以從中得到有效信息��。通過這些網(wǎng)絡(luò)安全技術(shù)的配合����,全方位消除來自網(wǎng)絡(luò)黑客的攻擊,保障企業(yè)網(wǎng)絡(luò)安全���。
3 結(jié)束語
隨著電子商務(wù)時(shí)代的到來�,網(wǎng)絡(luò)技術(shù)將會(huì)在未來一段時(shí)間內(nèi)在企業(yè)的運(yùn)轉(zhuǎn)中發(fā)揮難以取代的作用����,企業(yè)網(wǎng)絡(luò)安全也將長(zhǎng)期伴隨企業(yè)經(jīng)營(yíng)管理,因此必須對(duì)企業(yè)網(wǎng)絡(luò)實(shí)行動(dòng)態(tài)管理�,保證網(wǎng)絡(luò)安全的先進(jìn)性,為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境����。
參考文獻(xiàn)
[1]周觀民,李榮會(huì).計(jì)算機(jī)網(wǎng)絡(luò)信息安全及對(duì)策研究[J].信息安全與技術(shù)��,2011.
篇8
中圖分類號(hào):C913.3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1005-5312(2010)12-0088-01
一、網(wǎng)絡(luò)安全概述
(一)網(wǎng)絡(luò)安全的基本概念
網(wǎng)絡(luò)安全包括物理安全和邏輯安全����。對(duì)于物理安全,需要加強(qiáng)計(jì)算機(jī)房管理,如門衛(wèi)、出入者身份檢查���、下班鎖門以及各種硬件安全手段等預(yù)防措施;而對(duì)于后者,則需要用口令�����、文件許可和查帳等方法來實(shí)現(xiàn)����。
(二)網(wǎng)絡(luò)面臨的主要攻擊
⑴ 緩沖區(qū)溢出�。
⑵ 遠(yuǎn)程攻擊。
⑶ 口令破解����。
⑷ 超級(jí)權(quán)限。
⑸ 拒絕服務(wù)(DDOS)��。
二�、安全需求
通過對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性�、完整性��、可用性�����、可控性與可審查性���。即,
可用性: 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)。
機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程��。
完整性: 保證數(shù)據(jù)不被未授權(quán)修改����。
可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。
可審查性:對(duì)出現(xiàn)的安全問題提供依據(jù)與手段�。
訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制�。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸�����、存儲(chǔ)過程中防止非法竊取����、篡改信息的有效手段�。
安全審計(jì): 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為���、追查網(wǎng)絡(luò)泄密行為的重要措施之一��。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏
三�、網(wǎng)絡(luò)安全防護(hù)策略
個(gè)人建議采用如下的安全拓?fù)浼軜?gòu)來確保網(wǎng)站的安全性,其中我們主要采用以下五項(xiàng)高強(qiáng)度的安全防護(hù)措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個(gè)層次,不同的層次采用不同的策略進(jìn)行有效的安全防護(hù)�����。
第一個(gè)層次,是外部Internet,是不能有效確定其安全風(fēng)險(xiǎn)的層次,我們的安全策略就是要重點(diǎn)防護(hù)來自于第一個(gè)層次的攻擊�。
第二個(gè)層次,是通過路由器后進(jìn)入網(wǎng)站的第一個(gè)安全屏障。該層主要由防火墻進(jìn)行防護(hù)和訪問控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務(wù),完全封閉其他不必要的服務(wù)端口,阻擋來自于外部的攻擊企圖�。同時(shí),為了反映防火墻之內(nèi)的實(shí)際安全狀態(tài),部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)。入侵檢測(cè)系統(tǒng)可以檢測(cè)出外部穿過防火墻之后的和網(wǎng)絡(luò)內(nèi)部經(jīng)過交換機(jī)對(duì)外的所有數(shù)據(jù)流中,有無非法的訪問內(nèi)網(wǎng)的企圖�����、對(duì)WWW服務(wù)器和郵件服務(wù)器等關(guān)鍵業(yè)務(wù)平臺(tái)的攻擊行為和內(nèi)部網(wǎng)絡(luò)中的非法行為����。對(duì)DDOS攻擊行為及時(shí)報(bào)警,并通過與防火墻的聯(lián)動(dòng)及時(shí)阻斷,網(wǎng)絡(luò)遭受DDOS攻擊。
第三個(gè)層次,是一個(gè)中心網(wǎng)絡(luò)的核心層,部署了網(wǎng)絡(luò)處置中心的所有重要的服務(wù)器���。在該層次中,部署了網(wǎng)站保護(hù)系統(tǒng),防范網(wǎng)頁(yè)被非法篡改����。
此外,還部署網(wǎng)絡(luò)漏洞掃描系統(tǒng),定期或不定期的對(duì)接服務(wù)器區(qū)進(jìn)行漏洞掃描,幫助網(wǎng)管人員及時(shí)了解和修補(bǔ)網(wǎng)絡(luò)中的安全漏洞�����。這種掃描服務(wù)可以由網(wǎng)絡(luò)安全管理人員完成,或者由安全服務(wù)的安全廠商及其高級(jí)防黑客技術(shù)人員完成�����。
第四個(gè)層次,是網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)中心,放置了數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)備份服務(wù)器�。在該層次中,部署了防火墻,對(duì)數(shù)據(jù)庫(kù)的訪問通過防火墻進(jìn)行過濾,保證數(shù)據(jù)的安全性。
(二)多種防護(hù)手段
我們?cè)O(shè)計(jì)的高強(qiáng)度安全防護(hù)措施,包括多種防護(hù)手段,即有靜態(tài)的防護(hù)手段,如防火墻,又有動(dòng)態(tài)的防護(hù)手段,如網(wǎng)絡(luò)IDS�、網(wǎng)絡(luò)防病毒系統(tǒng)。同時(shí),也考慮到了恢復(fù)和響應(yīng)技術(shù),如網(wǎng)站保護(hù)和恢復(fù)系統(tǒng)��。不同的防護(hù)手段針對(duì)不同的安全需求,解決不同的安全問題,使得網(wǎng)絡(luò)防護(hù)過程中不留安全死角�。
(三)防火墻系統(tǒng)
防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入��。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合�。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕���、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力����。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
防火墻可通過監(jiān)測(cè)�、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息�����、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)��。在此次的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)完成后,防火墻將承擔(dān)起對(duì)合法地址用戶的路由和對(duì)私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(wù)(NAT),同時(shí),將根據(jù)需要對(duì)進(jìn)出訪問進(jìn)行控制�����。防火墻可將網(wǎng)絡(luò)分成若干個(gè)區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對(duì)外的WEB server��、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域��。
(四)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的作用
通過使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),我們可以做到:發(fā)現(xiàn)誰在攻擊網(wǎng)絡(luò):解決網(wǎng)絡(luò)防護(hù)的問題(網(wǎng)絡(luò)出入口���、DMZ�����、關(guān)鍵網(wǎng)段)����。了解接網(wǎng)絡(luò)如何被攻擊:例如,如果有人非法訪問服務(wù)器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進(jìn)行逐條的記錄回放,使網(wǎng)絡(luò)系統(tǒng)免受二次攻擊�����。
處置中心網(wǎng)絡(luò)的內(nèi)部危險(xiǎn):放置在網(wǎng)絡(luò)中的IDS會(huì)識(shí)別不同的安全事件�。減輕潛在威脅:可以安裝在特定的網(wǎng)絡(luò)中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產(chǎn)品進(jìn)行全面防護(hù)���。事后取證:從相關(guān)的事件和活動(dòng)的多個(gè)角度提供具有標(biāo)準(zhǔn)格式的獨(dú)特?cái)?shù)據(jù)�����。實(shí)現(xiàn)安全事件來源追查�����。 DDOS攻擊防范:通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量,及時(shí)發(fā)現(xiàn)異常流量并報(bào)警,通過和防火墻聯(lián)動(dòng),對(duì)DDOS攻擊進(jìn)行阻斷���。
四、安全服務(wù)
網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)��、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時(shí)進(jìn)行相應(yīng)的調(diào)整�。由于這方面相對(duì)比較復(fù)雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料�。
五、總結(jié)
毫無疑問,安全是一個(gè)動(dòng)態(tài)的問題��。在做未來的計(jì)劃時(shí),既要考慮用戶環(huán)境的發(fā)展,也要考慮風(fēng)險(xiǎn)的發(fā)展,這樣才能讓安全在操作進(jìn)程中占有一席之地�����。最謹(jǐn)慎�、最安全的人會(huì)將他們的信息放在屋子里鎖好,妥善地保護(hù)起來。歸納起來,對(duì)網(wǎng)絡(luò)安全的解決方案從人員安全�、物理層安全、邊界安全����、網(wǎng)絡(luò)安全、主機(jī)安全��、應(yīng)用程序和數(shù)據(jù)安全這幾方面入手即可���。上述幾個(gè)方面做好之后,我們就可以讓一個(gè)網(wǎng)絡(luò)系統(tǒng):
進(jìn)不來: 通過物理隔離等手段,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)�����。
拿不走: 使用屏蔽����、防下載機(jī)制,實(shí)現(xiàn)對(duì)用戶的權(quán)限控制。
讀不懂: 通過認(rèn)證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序���。
改不了: 使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有允許的人才能修改數(shù)據(jù)�����。
走不脫: 使用日志、安全審計(jì)�����、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為�。
參考文獻(xiàn):
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學(xué)技術(shù)出版社.2002年版.
篇9
特別值得一提的是,為了滿足用戶和業(yè)務(wù)的需求�,時(shí)刻保持競(jìng)爭(zhēng)優(yōu)勢(shì),企業(yè)不得不持續(xù)擴(kuò)張網(wǎng)絡(luò)體系��。然而����,很多人可能不知道�����,網(wǎng)絡(luò)的每一次擴(kuò)張�,即便是一臺(tái)新計(jì)算機(jī)��、一臺(tái)新服務(wù)器以及軟件應(yīng)用平臺(tái)���,都將給病毒�����、蠕蟲��、黑客留下可乘之機(jī)��,為企業(yè)網(wǎng)絡(luò)帶來額外的安全風(fēng)險(xiǎn)�。同時(shí)�,純病毒時(shí)代已經(jīng)一去不復(fù)返,幾年前占據(jù)著新聞?lì)^條的計(jì)算機(jī)病毒事件在今天看來已經(jīng)不是什么新聞�,取而代之的是破壞程度呈幾何增長(zhǎng)的新型病毒。這種新型病毒被稱為混合型病毒�,這種新病毒結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡(luò)的能力,能夠快速尋找和發(fā)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)存在的安全漏洞�����,并進(jìn)行進(jìn)一步的破壞,如拒絕服務(wù)攻擊�,拖垮服務(wù)器,攻擊計(jì)算機(jī)或系統(tǒng)的薄弱環(huán)節(jié)��。在這種混合型病毒時(shí)代�,單一的依靠軟件安全防護(hù)已開始不能滿足客戶的需求。
網(wǎng)絡(luò)安全不只是軟件廠商的事
今年上半年�,網(wǎng)絡(luò)安全軟件及服務(wù)廠商——趨勢(shì)科技與網(wǎng)絡(luò)業(yè)界領(lǐng)導(dǎo)廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議。該協(xié)議進(jìn)一步擴(kuò)展了雙方此前針對(duì)思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃建立的合作關(guān)系��,并將實(shí)現(xiàn)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全解決方案與趨勢(shì)科技防病毒技術(shù)�����、漏洞評(píng)估和病毒爆發(fā)防御能力的結(jié)合��。
根據(jù)合作協(xié)議��,思科首先將在思科IOS路由器�����、思科Catalyst交換機(jī)和思科安全設(shè)備中采用的思科入侵檢測(cè)系統(tǒng)(IDS)軟件中添加趨勢(shì)科技的網(wǎng)絡(luò)蠕蟲和病毒識(shí)別碼技術(shù)��。此舉將為用戶提供高級(jí)的網(wǎng)絡(luò)病毒智能識(shí)別功能和附加的實(shí)時(shí)威脅防御層��,以抵御各種已知和未知的網(wǎng)絡(luò)蠕蟲的攻擊�����。
“在抵御網(wǎng)絡(luò)蠕蟲����、防止再感染、漏洞和系統(tǒng)破壞的過程中��,用戶不斷遭受業(yè)務(wù)中斷的損失��,這導(dǎo)致了對(duì)更成熟的威脅防御方案需求的增長(zhǎng)����。”趨勢(shì)科技創(chuàng)始人兼首席執(zhí)行官?gòu)埫髡u(píng)論說�,“傳統(tǒng)的方法已無法滿足雙方客戶的需求?�!?/p>
“現(xiàn)在的網(wǎng)絡(luò)安全已不是單一的軟件防護(hù)��,而是擴(kuò)充到整個(gè)網(wǎng)絡(luò)的防治�?����!彼伎迫蚋笨偛枚偶覟I在接受記者采訪時(shí)表示:“路由器和交換機(jī)應(yīng)該是保護(hù)整個(gè)網(wǎng)絡(luò)安全的���,如果它不安全,那它就不是路由器��。從PC集成上來看�����,網(wǎng)絡(luò)設(shè)備應(yīng)該能自我保護(hù)�����,甚至實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全的保護(hù)�����?!?/p>
業(yè)界專家指出�����,防病毒與網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合,甚至融入到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中���,這是網(wǎng)絡(luò)安全的發(fā)展潮流��,趨勢(shì)科技和思科此次合作引領(lǐng)了這一變革�,邁出了安全發(fā)展史上里程碑式的重要一步�。
“軟”+“硬”=一步好棋
如果細(xì)細(xì)品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋�����,兩家公司都需要此次合作����。
作為網(wǎng)絡(luò)領(lǐng)域的全球領(lǐng)導(dǎo)者,思科一直致力于推動(dòng)網(wǎng)絡(luò)安全的發(fā)展并獨(dú)具優(yōu)勢(shì)�����。自防御網(wǎng)絡(luò)(Self-DefendingNetwork�����,SDN)計(jì)劃是思科于今年3月推出的全新的安全計(jì)劃,它能大大提高網(wǎng)絡(luò)發(fā)現(xiàn)�、預(yù)防和對(duì)抗安全威脅的能力。思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃則是SDN計(jì)劃的重要組成部分�����,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部?jī)?nèi)涵����。
SDN是一個(gè)比較全面、系統(tǒng)的計(jì)劃�,但是它缺乏有效的病毒防護(hù)功能。隨著網(wǎng)絡(luò)病毒的日見猖獗�,該計(jì)劃防毒功能的欠缺日益凸顯。趨勢(shì)科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的���。
趨勢(shì)科技作為網(wǎng)絡(luò)安全軟件及服務(wù)廠商���,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡(luò)服務(wù)器和網(wǎng)關(guān)防毒的潮流。趨勢(shì)科技的主動(dòng)防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新��,其核心是企業(yè)安全防護(hù)戰(zhàn)略(EPS)����。EPS一反過去被動(dòng)地以防毒軟件守護(hù)的方式,將主動(dòng)預(yù)防和災(zāi)后重建的兩大階段納入整個(gè)防衛(wèi)計(jì)劃當(dāng)中��,并將企業(yè)安全防護(hù)策略延伸至網(wǎng)絡(luò)的各個(gè)層次���。
“如果此次與思科合作的不是趨勢(shì)科技�����,我們恐怕連覺都睡不好��?�!睆埫髡膽蜓詿o不透露出趨勢(shì)科技對(duì)此次合作的迫切性和重要性�。
更讓張明正高興的是�����,通過此次合作��,趨勢(shì)科技大大擴(kuò)充了渠道����。“我們的渠道重疊性很小����?����!睆埫髡硎?�。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間�。
網(wǎng)絡(luò)安全路在何方�����?
篇10
Abstract : The paper mainly discusses the network information security.
1.網(wǎng)絡(luò)安全的含義
1.1含義 網(wǎng)絡(luò)安全是指:為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和�����。當(dāng)正確的采用網(wǎng)絡(luò)安全措施時(shí)���,能使網(wǎng)絡(luò)得到保護(hù)�,正常運(yùn)行����。
它具有三方面內(nèi)容:①保密性:指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息。②完整性:包括資料的完整性和軟件的完整性����。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會(huì)被錯(cuò)誤�、被懷有而已的用戶或病毒修改。③可用性:指網(wǎng)絡(luò)在遭受攻擊時(shí)可以確保合法擁護(hù)對(duì)系統(tǒng)的授權(quán)訪問正常進(jìn)行���。
1.2特征 網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定�,應(yīng)具有以下基本特征:①機(jī)密性:是指信息不泄露給非授權(quán)的個(gè)人�����、實(shí)體和過程���,或供其使用的特性�����。②完整性:是指信息未經(jīng)授權(quán)不能被修改��、不被破壞��、不入�、不延遲�����、不亂序和不丟失的特性。③可用性:是指授權(quán)的用戶能夠正常的按照順序使用的特征��,也就是能夠保證授權(quán)使用者在需要的時(shí)候可以訪問并查詢資料�����。
2.網(wǎng)絡(luò)安全現(xiàn)狀
網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計(jì)網(wǎng)絡(luò)的初衷大相徑庭���,安全問題已經(jīng)擺在了非常重要的位置上�����,安全問題如果不能解決���,會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。網(wǎng)絡(luò)信息具有很多不利于網(wǎng)絡(luò)安全的特性����,例如網(wǎng)絡(luò)的互聯(lián)性,共享性���,開放性等���,現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻���,不法分子的手段越來越先進(jìn),系統(tǒng)的安全漏洞往往給他們可趁之機(jī)����,因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅�����,保障網(wǎng)絡(luò)信息的保密性�����、完整性和可用性���。
3.網(wǎng)絡(luò)安全解決方案
要解決網(wǎng)絡(luò)安全��,首先要明確實(shí)現(xiàn)目標(biāo):①身份真實(shí)性:對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行識(shí)別�����。②信息機(jī)密性:保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w���。③信息完整性:保證數(shù)據(jù)的一致性�����,防止非授權(quán)用戶或?qū)嶓w對(duì)數(shù)據(jù)進(jìn)行任何破壞�。④服務(wù)可用性:防止合法擁護(hù)對(duì)信息和資源的使用被不當(dāng)?shù)木芙^���。⑤不可否認(rèn)性:建立有效的責(zé)任機(jī)智�,防止實(shí)體否認(rèn)其行為��。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式�����。⑦系統(tǒng)易用性:在滿足安全要求的條件下����,系統(tǒng)應(yīng)該操作簡(jiǎn)單、維護(hù)方便���。⑧可審查性:對(duì)出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段�����。
4.如何保障網(wǎng)絡(luò)信息安全
網(wǎng)絡(luò)安全有安全的操作系統(tǒng)��、應(yīng)用系統(tǒng)�����、防病毒��、防火墻���、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控����、信息審計(jì)、通信加密��、災(zāi)難恢復(fù)�、安全掃描等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件是無法確保信息網(wǎng)絡(luò)的安全性����。從實(shí)際操作的角度出發(fā)網(wǎng)絡(luò)安全應(yīng)關(guān)注以下技術(shù):
4.1防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗���,對(duì)計(jì)算機(jī)系統(tǒng)安全威脅也最大�,做好防護(hù)至關(guān)重要。應(yīng)采取全方位的企業(yè)防毒產(chǎn)品�����,實(shí)施層層設(shè)防�����、集中控制���、以防為主�、防殺結(jié)合的策略���。
4.2防火墻技術(shù)��。通常是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合(包括硬件和軟件)�����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口�,能根據(jù)企業(yè)的安全政策控制(允許、拒絕�、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力����。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施���。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段�,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊���,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅�,也不能完全防止傳送已感染病毒的軟件或文件���,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
4.3入侵檢測(cè)技術(shù)�����。入侵檢測(cè)幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊����,擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控�����,從而提供對(duì)內(nèi)部攻擊���、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����。具體的任務(wù)是監(jiān)視����、分析用戶及系統(tǒng)活動(dòng)�����;系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì)�����;識(shí)別反映已進(jìn)攻的活動(dòng)規(guī)模并報(bào)警��;異常行為模式的統(tǒng)計(jì)分析����;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性��;操作系統(tǒng)的審計(jì)跟蹤管理���,并識(shí)別用戶違反安全策略的行為。
4.4安全掃描技術(shù)����。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻���、入侵檢測(cè)系統(tǒng)三者相互配合����,對(duì)網(wǎng)絡(luò)安全的提高非常有效�。通過對(duì)系統(tǒng)以及網(wǎng)絡(luò)的掃描,能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個(gè)整體的評(píng)價(jià)����,并得出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別���,還能夠及時(shí)的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞����,并自動(dòng)修補(bǔ)。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段��,那么安全掃描就是一種主動(dòng)的防范措施��,做到防患于未然�。
4.5網(wǎng)絡(luò)安全緊急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程����,意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生變化。隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略��,并及時(shí)組建網(wǎng)絡(luò)安全緊急響應(yīng)體系�,專人負(fù)責(zé),防范安全突發(fā)事件�。
4.6安全加密技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證�,從而使基于Internet上的電子交易系統(tǒng)成為了可能,因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是21世紀(jì)的主流���。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)���,加密運(yùn)算與解密運(yùn)算使用同樣的密鑰�����。不對(duì)稱加密�����,即加密密鑰不同于解密密鑰�,加密密鑰公之于眾��,誰都可以用����,解密密鑰只有解密人自己知道。⑦網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施�����。防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)�����,必須結(jié)合其他措施才能提高系統(tǒng)的安全水平��。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施����。按照級(jí)別從低到高,分別是主機(jī)系統(tǒng)的物理安全����、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全�����、應(yīng)用服務(wù)安全和文件系統(tǒng)安全��;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施����。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊�。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線,用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)�����。在防火墻和主機(jī)安全措施之后�,是全局性的由系統(tǒng)安全審計(jì)、入侵檢測(cè)和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施����。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻����、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息�����,作為輸人提供給入侵檢測(cè)子系統(tǒng)���。入侵檢測(cè)子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生����,如果有入侵發(fā)生��,則啟動(dòng)應(yīng)急處理措施���,并產(chǎn)生警告信息���。而且,系統(tǒng)的安全審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)行處理����、對(duì)系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源�。
篇11
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網(wǎng)絡(luò)安全概述
1.1 網(wǎng)絡(luò)病毒
(1)計(jì)算機(jī)感染病毒的途徑:校園內(nèi)部網(wǎng)感染和校園外部網(wǎng)感染��。
(2)病毒入侵渠道:來自Internet 或外網(wǎng)的病毒入侵���、網(wǎng)絡(luò)郵件/群件系統(tǒng)、文件服務(wù)器和最終用戶�����。主要的病毒入口是Internet�,主要的傳染方式是群件系統(tǒng)。
(3)計(jì)算機(jī)病毒發(fā)展趨勢(shì):病毒與黑客程序相結(jié)合�����,病毒破壞性更大�,制作病毒的方法更簡(jiǎn)單,病毒傳播速度更快�,傳播渠道更多,病毒的實(shí)時(shí)檢測(cè)更困難���。
(4)切斷病毒源的途徑:要防止計(jì)算機(jī)病毒在網(wǎng)絡(luò)上傳播��、擴(kuò)散��,需要從Internet�、郵件、文件服務(wù)器和用戶終端四個(gè)方面來切斷病毒源�。
1.2 網(wǎng)絡(luò)攻擊
(1)校園網(wǎng)與Internet 相連,面臨著遭遇攻擊的風(fēng)險(xiǎn)����。
(2)校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,存在的安全隱患更大一些���。
(3)目前使用的操作系統(tǒng)存在安全漏洞���,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。
(4)存在“重技術(shù)��、輕安全�、輕管理”的傾向。
(5)服務(wù)器與系統(tǒng)一般都沒有經(jīng)過細(xì)密的安全配置�。
2 校園網(wǎng)絡(luò)安全分析
2.1 物理安全分析
網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要有環(huán)境事故(如地震、水災(zāi)���、火災(zāi)���、雷電等)���、電源故障、人為操作失誤或錯(cuò)誤����、設(shè)備被盜或被毀、電磁干擾����、線路截獲等�����。
2.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性�。從結(jié)構(gòu)上講,校園網(wǎng)可以分成核心�����、匯聚和接入三個(gè)層次�����;從網(wǎng)絡(luò)類型上講,可以劃分為教學(xué)子網(wǎng)�����、辦公子網(wǎng)����、宿舍子網(wǎng)等。其特點(diǎn)是接入方式多��,包括撥號(hào)上網(wǎng)����、寬帶接入、無線上網(wǎng)等各種形式��,接入的用戶類型也非常復(fù)雜���。
2.3 系統(tǒng)的安全分析
系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)的操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信賴����,其層次分為鏈路安全����、網(wǎng)絡(luò)安全��、信息安全�。目前�,沒有完全安全的操作系統(tǒng)。
2.4 應(yīng)用系統(tǒng)的安全分析
應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的���、不斷變化的�,涉及到信息�、數(shù)據(jù)的安全性。
2.5 管理的安全風(fēng)險(xiǎn)分析
安全管理制度不健全����、責(zé)權(quán)不明確及缺乏可操作性等����,都可能引起管理安全的風(fēng)險(xiǎn)。
3 校園網(wǎng)絡(luò)安全解決方案
3.1 校園內(nèi)部網(wǎng)絡(luò)安全方案
3.1.1 內(nèi)網(wǎng)病毒防范
在網(wǎng)絡(luò)的匯聚三層交換機(jī)上實(shí)施不同的病毒安全策略���。網(wǎng)絡(luò)通過在交換機(jī)上設(shè)置相應(yīng)的病毒策略��,配合網(wǎng)絡(luò)的認(rèn)證客戶端軟件��,能偵測(cè)到具體的計(jì)算機(jī)上是否有病毒��。
3.1.2 單機(jī)病毒防范
教師機(jī)安裝NT 內(nèi)核的操作系統(tǒng)���,使用NTFS 格式的分區(qū)����;服務(wù)器可以使用Windows Server甚至UNIX或類UNIX系統(tǒng)�。學(xué)生機(jī)安裝硬盤還原卡、保護(hù)卡或者還原精靈���,充分利用NTFS分區(qū)的“安全”特性�����,設(shè)置好各個(gè)分區(qū)��、目錄���、文件的訪問權(quán)限。安裝簡(jiǎn)單的包過濾防火墻�����。
3.1.3 內(nèi)部網(wǎng)絡(luò)安全監(jiān)控
采用寬帶接入���、安全控制和訪問跟蹤綜合為一體的安全路由交換機(jī)�,能把網(wǎng)絡(luò)訪問安全控制前移到用戶的接入點(diǎn)。利用三層交換機(jī)的網(wǎng)絡(luò)監(jiān)控軟件����,對(duì)網(wǎng)絡(luò)進(jìn)行即時(shí)監(jiān)控。
3.1.4 防毒郵件網(wǎng)關(guān)系統(tǒng)
校園網(wǎng)網(wǎng)關(guān)病毒防火墻安裝在Internet 服務(wù)器或網(wǎng)關(guān)上�,在電腦病毒通過Internet 入侵校園內(nèi)部網(wǎng)絡(luò)的第一個(gè)入口處設(shè)置一道防毒屏障,使得電腦病毒在進(jìn)入網(wǎng)絡(luò)之前即被阻截���。
3.1.5 文件服務(wù)器的病毒防護(hù)
服務(wù)器上安裝防病毒系統(tǒng)�����,可以提供系統(tǒng)的實(shí)時(shí)病毒防護(hù)功能�、實(shí)時(shí)病毒監(jiān)控功能����、遠(yuǎn)程安裝和遠(yuǎn)程調(diào)用功能�、病毒碼自動(dòng)更新功能以及病毒活動(dòng)日志、多種報(bào)警通知方式等��。
3.1.6 中央控制管理中心防病毒系統(tǒng)
建立中央控制管理中心系統(tǒng)�����,能有效地將跨平臺(tái)、跨路由���、跨產(chǎn)品的所有防毒產(chǎn)品的管理綜合起來���,使管理人員能在單點(diǎn)實(shí)現(xiàn)對(duì)全網(wǎng)的管理。
3.2 校園外部網(wǎng)絡(luò)安全方案
3.2.1 校園網(wǎng)分層次的拓?fù)浞雷o(hù)措施
層次一是中心級(jí)網(wǎng)絡(luò)�����,主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離����、內(nèi)外網(wǎng)用戶的訪問控制、內(nèi)部網(wǎng)的監(jiān)控��、內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查����;層次二是部門級(jí),主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制�、同級(jí)部門間的訪問控制、部門網(wǎng)內(nèi)部的安全審計(jì)��;層次三是終端/個(gè)人用戶級(jí),主要實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制���、數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)���。
3.2.2 校園網(wǎng)安全防護(hù)要點(diǎn)
(1)防火墻技術(shù)。目前����,防火墻分為三類,包過濾型防火墻�、應(yīng)用型防火墻和復(fù)合型防火墻(由包過濾與應(yīng)用型防火墻結(jié)合而成)。利用防火墻�����,可以實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制����,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。
(2)防火墻設(shè)置原則�����。一是根據(jù)校園網(wǎng)安全策略和安全目標(biāo)��,遵從“不被允許的服務(wù)就是被禁止”的原則���;二是過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包和以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包���;三是在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表,防止IP地址被盜用�����;四是定期查看防火墻訪問日志���,及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄�����;五是允許通過配置網(wǎng)卡對(duì)防火墻進(jìn)行設(shè)置���,提高防火墻管理的安全性。
(3)校園網(wǎng)部署防火墻�。系統(tǒng)中使用防火墻,在內(nèi)部網(wǎng)絡(luò)和外界Internet之間隔離出一個(gè)受屏蔽的子網(wǎng)���,其中WWW���、E-mail��、FTP�����、DNS 服務(wù)器連接在防火墻的DMZ區(qū)�����,對(duì)內(nèi)�、外網(wǎng)進(jìn)行隔離����。內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口通過路由器與Internet 連接�����。
(4)入侵檢測(cè)系統(tǒng)的部署��。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)����、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足����。根據(jù)校園網(wǎng)絡(luò)的特點(diǎn),將入侵檢測(cè)引擎接入中心交換機(jī)上���,對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)�����。
(5)漏洞掃描系統(tǒng)�。采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站��、服務(wù)器�����、交換機(jī)等進(jìn)行安全檢查��,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密����、可靠的安全性分析報(bào)告。
3.2.3 校園網(wǎng)防護(hù)體系
構(gòu)造校園網(wǎng)“包過濾防火墻+NAT+計(jì)費(fèi)++VPN+網(wǎng)絡(luò)安全檢測(cè)+監(jiān)控”防護(hù)體系,具體解決的問題是:內(nèi)外網(wǎng)絡(luò)邊界安全�����,防止外部攻擊�����,保護(hù)內(nèi)部網(wǎng)絡(luò)���;隔離內(nèi)部不同網(wǎng)段�����,建立VLAN�����;根據(jù)IP地址�����、協(xié)議類型�、端口進(jìn)行過濾���;內(nèi)外網(wǎng)絡(luò)采用兩套IP地址�����,需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能����;通過IP地址與MAC地址對(duì)應(yīng)防止IP欺騙���;基于用戶和IP地址計(jì)費(fèi)和流量統(tǒng)計(jì)與控制�;提供應(yīng)用服務(wù)����,隔離內(nèi)外網(wǎng)絡(luò);用戶身份鑒別���、權(quán)限控制���;支持透明接入和VPN 及其管理;網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)�。
4 校園網(wǎng)絡(luò)運(yùn)營(yíng)安全
4.1 認(rèn)證的方式
網(wǎng)絡(luò)運(yùn)營(yíng)是對(duì)網(wǎng)絡(luò)用戶的管理,通過“認(rèn)證的方式”使用網(wǎng)絡(luò)��。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二層交換機(jī)上實(shí)現(xiàn)����,需要接入的所有交換機(jī)都支持802.1x協(xié)議,實(shí)現(xiàn)整網(wǎng)的認(rèn)證����。
(2)基于流的認(rèn)證方式。指交換機(jī)可以用基于用戶設(shè)備的MAC地址��、VLAN��、IP等實(shí)現(xiàn)認(rèn)證和控制�,能解決傳統(tǒng)802.1x無法解決但對(duì)于運(yùn)營(yíng)是十分重要的一些問題,如假�����、假冒IP和MAC����、假冒DHCP SERVER。
4.2 管理
利用客戶端機(jī)器上安裝服務(wù)器軟件實(shí)現(xiàn)多人共用一個(gè)賬號(hào)上網(wǎng)的現(xiàn)象非常普遍���,給學(xué)校的運(yùn)營(yíng)帶來很大的損失�����。使用三層交換機(jī)上的802.1x擴(kuò)展功能和802.1x客戶端�����,防止非認(rèn)證的用戶借助軟件從已認(rèn)證的端口使用服務(wù)或訪問網(wǎng)絡(luò)資源����,做到學(xué)校提供一個(gè)網(wǎng)絡(luò)端口只能一個(gè)用戶上網(wǎng)���。
4.3 賬戶管理
學(xué)生是好奇心強(qiáng)的群體���,假冒DHCP SERVER和IP、MAC給學(xué)校的運(yùn)營(yíng)管理帶來很大的麻煩����。通過匯聚三層交換機(jī)和客戶端軟件配合,發(fā)現(xiàn)有假冒的DHCP SERVER��,立即封掉該賬戶�。
5 校園網(wǎng)絡(luò)的訪問控制策略
5.1 建立并嚴(yán)格執(zhí)行規(guī)章制度
規(guī)章制度作為一項(xiàng)核心內(nèi)容,應(yīng)始終貫穿于系統(tǒng)的安全生命周期�����。
5.2 身份驗(yàn)證
對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。
5.3 病毒防護(hù)
主要包括預(yù)防計(jì)算機(jī)病毒侵入��、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒��、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒�、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源�����。
6 校園網(wǎng)絡(luò)安全監(jiān)測(cè)
校園網(wǎng)絡(luò)安全監(jiān)測(cè)可采用以下系統(tǒng)或措施:入侵檢測(cè)系統(tǒng)��;Web�、E-mail、BBS的安全監(jiān)測(cè)系統(tǒng)�;漏洞掃描系統(tǒng);網(wǎng)絡(luò)監(jiān)聽系統(tǒng)���;在路由器上捆綁IP和MAC地址��。這些系統(tǒng)或措施在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)�,從而提供對(duì)內(nèi)部攻擊��、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
7 校園網(wǎng)絡(luò)系統(tǒng)配置安全
7.1 設(shè)置禁用
禁用Guest賬號(hào)�;為Administrator設(shè)置一個(gè)安全的密碼;將各驅(qū)動(dòng)器的共享設(shè)為不共享����;關(guān)閉不需要的服務(wù),運(yùn)用掃描程序堵住安全漏洞�,封鎖端口。
7.2 設(shè)置IIS
通過設(shè)置���,彌補(bǔ)校園網(wǎng)服務(wù)器的IIS 漏洞�。
7.3 運(yùn)用VLAN 技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段�����,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式���。在實(shí)際應(yīng)用過程中,通常采用二者相結(jié)合的方法����。
7.4 遵循“最小授權(quán)”原則
指網(wǎng)絡(luò)中的賬號(hào)設(shè)置、服務(wù)配置����、主機(jī)間信任關(guān)系配置等都應(yīng)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度�����,這可以將系統(tǒng)的危險(xiǎn)性大大降低��。
7.5 采用“信息加密”技術(shù)
包括算法�����、協(xié)議�����、管理在內(nèi)的龐大體系�����。加密算法是基礎(chǔ)��,密碼協(xié)議是關(guān)鍵����,密鑰管理是保障。
8 校園網(wǎng)絡(luò)安全管理措施
安全措施主要包括:行政法律手段����、各種管理制度(人員審查、工作流程���、維護(hù)保障制度等)以及專業(yè)措施(識(shí)別技術(shù)����、存取控制�����、密碼��、低輻射���、容錯(cuò)、防病毒���、采用高安全產(chǎn)品等)����。
9 結(jié)束語
校園網(wǎng)安全是一個(gè)動(dòng)態(tài)的發(fā)展過程,應(yīng)該是檢測(cè)�、監(jiān)視、安全響應(yīng)的循環(huán)過程�。確定安全技術(shù)、安全策略和安全管理只是一個(gè)良好的開端����,只能解決60%~90%的安全問題,其余的安全問題仍有待解決�。這些問題包括信息系統(tǒng)高智能主動(dòng)性威脅、后續(xù)安全策略與響應(yīng)的弱化����、系統(tǒng)的配置錯(cuò)誤、對(duì)安全風(fēng)險(xiǎn)的感知程度低�、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等,這些都是對(duì)信息系統(tǒng)安全的挑戰(zhàn)�。
參考文獻(xiàn):
[1]孫念龍.后門防范技巧[J].網(wǎng)管員世界,2005(6).
[2]段新海.校園網(wǎng)安全問題分析與對(duì)策[J].中國(guó)教育網(wǎng)絡(luò),2005(3).
